| SUSE Linux Enterprise Desktop dokument�ci� III. r�sz - Rendszer�/�24. fejezet - Hiteles�t�s PAM haszn�lat�val | ||||
|---|---|---|---|---|
 | 23.3. Tov�bbi inform�ci�k | 24.2. Az sshd PAM-konfigur�ci�ja |  | |
| SUSE Linux Enterprise Desktop dokument�ci� III. r�sz - Rendszer�/�24. fejezet - Hiteles�t�s PAM haszn�lat�val | ||||
|---|---|---|---|---|
| 23.3. Tov�bbi inform�ci�k | 24.2. Az sshd PAM-konfigur�ci�ja | | |
Tartalomjegyz�k
Kivonat
A Linux a PAM (Pluggable Authentication Modules, cser�lhető hiteles�t�si modulok) rendszert haszn�lja a hiteles�t�si folyamatban a felhaszn�l� �s az alkalmaz�s k�z�tti r�tegk�nt. A PAM-modulok rendszerszinten �llnak rendelkez�sre, �gy ak�rmelyik alkalmaz�s k�rheti őket. Ez a fejezet le�rja a modul�ris hiteles�t�si mechanizmus műk�d�s�t �s be�ll�t�s�nak m�dj�t.
A rendszergazd�k �s a programoz�k gyakran k�v�nj�k korl�tozni a hozz�f�r�st a rendszer egyes r�szeihez, illetve korl�tozni az alkalmaz�sok bizonyos funkci�inak haszn�lat�t. PAM n�lk�l az alkalmaz�sokat minden egyes �j hiteles�t�si mechanizmushoz (p�ld�ul LDAP, Samba vagy Kerberos) hozz� kell igaz�tani. Ez a folyamat azonban meglehetősen időig�nyes �s a hib�z�s es�ly�t rejti. E h�tr�nyok elker�l�s�nek egyik m�dja az alkalmaz�sok �s a hiteles�t�si mechanizmusok sz�tv�laszt�sa, �s az ut�bbi k�zpontilag fel�gyelt modulokba ir�ny�t�sa. �gy minden egyes alkalommal, ha egy �j hiteles�t�si s�ma ker�l bevezet�sre, elegendő a megfelelő PAM-modult elk�sz�teni vagy adapt�lni.
A PAM mechanizmus�t haszn�l� programok mindegyik�nek van egy saj�t konfigur�ci�s f�jlja az /etc/pam.d/ k�nyvt�rban. Ezek a f�jlok hat�rozz�k meg a hiteles�t�shez haszn�lt PAM-modulokat. L�tezik tov�bb� egy glob�lis konfigur�ci�s f�jl a legt�bb PAM-modulhoz az programn�v/etc/security, k�nyvt�rban, amely meghat�rozza a modulok pontos viselked�s�t (ilyen p�ld�ul a pam_env.conf, a pam_pwcheck.conf, a pam_unix2.conf �s a time.conf). A PAM-modulokat haszn�l� alkalmaz�sok t�nylegesen egy sor PAM-funkci�t h�vnak meg, amelyek azut�n feldolgozz�k a k�l�nf�le konfigur�ci�s f�jlokban tal�lhat� adatokat �s az eredm�nyt visszaadj�k a h�v� alkalmaz�snak.
A PAM konfigur�ci�s f�jlok minden egyes sora maximum n�gy oszlopb�l �llhat:
<Type of module> <Control flag> <Module path> <Options>
A PAM-modulok egym�sra �p�lve ker�lnek feldolgoz�sra. A k�l�nf�le t�pus� moduloknak k�l�nb�ző feladataik vannak: az egyik modul p�ld�ul ellenőrzi a jelsz�t, a m�sik azt a helyet, ahonnan a rendszert el�rt�k, egy harmadik pedig lehet, hogy felhaszn�l�specifikus be�ll�t�sokat vizsg�l meg. A PAM n�gyf�le modult�pust k�l�nb�ztet meg:
authAz ilyen t�pus� modulok feladata a felhaszn�l� azonoss�g�nak ellenőrz�se. Hagyom�nyosan ez jelsz�ellenőrz�ssel t�rt�nik, de haszn�lhat�k p�ld�ul intelligens k�rty�k, vagy k�l�nf�le biometriai eszk�z�k (ujjlenyomat- vagy sziv�rv�nyh�rtya-ellenőrz�s) is.
accountAz ilyen t�pus� modulok ellenőrzik, hogy a felhaszn�l� rendelkezik-e �ltal�nos enged�llyel a k�rt szolg�ltat�s haszn�lat�ra. P�ld�ul ilyen ellenőrz�sre van sz�ks�g ahhoz, hogy senki ne l�phessen be egy lej�rt felhaszn�l�i fi�k azonos�t�j�val.
passwordAz ilyen t�pus� modulok feladata, hogy lehetőv� tegy�k a hiteles�t�si tokenek cser�j�t. A legt�bb esetben ez egy jelsz�t jelent.
sessionAz ilyen t�pus� modulok felelősek a felhaszn�l�i munkamenetek kezel�s��rt �s be�ll�t�s��rt. A hiteles�t�s előtt �s ut�n ker�lnek elind�t�sra, hogy feljegyezz�k a bejelentkez�si k�s�rleteket a rendszernapl�kba, valamint be�ll�ts�k a felhaszn�l� egyedi k�rnyezet�t (postafi�kok, saj�t k�nyvt�r, rendszerkorl�tok stb).
A m�sodik oszlop az elind�tott modulok viselked�s�t befoly�sol� vez�rlő jelzőket tartalmaz:
required
Az ilyen jelzőjű modulok feldolgoz�s�nak sikeresen v�gbe kell mennie ahhoz, hogy a hiteles�t�s folytat�djon. Egy required jelzőjű modul sikertelen fut�sa eset�n az ilyen jelzőjű �sszes t�bbi modul feldolgoz�sra ker�l, mielőtt a felhaszn�l� �zenetet kapna a hiteles�t�si k�s�rlet sikertelens�g�ről.
requisite
Hasonl�an a required jelzőjű modulokhoz, az ilyen jelzőjű modulok feldolgoz�s�nak sikeresen v�gbe kell mennie. Egy ilyen jelzőjű modul sikertelen fut�sa eset�n azonban a felhaszn�l� azonnal �zenetet kap �s a rendszer a tov�bbi modulokat nem dolgozza fel. Sikeres v�grehajt�s eset�n feldolgoz�sra ker�lnek a tov�bbi modulok, hasonl�an a required jelzőh�z. A requisite jelző alapszintű szűrők�nt haszn�lhat�, amely a helyes hiteles�t�s alapvető fontoss�g� felt�teleinek megl�t�t ellenőrzi.
sufficient
Az ilyen jelzőjű modul sikeres feldolgoz�sa eset�n a h�v� alkalmaz�s azonnal �zenetet kap a sikerről �s a t�bbi modul m�r nem is ker�l feldolgoz�sra, felt�ve, hogy nem volt kor�bbi required jelzőjű sikertelen modul. A sufficient jelzőjű modul sikertelen feldolgoz�sa nem j�r k�zvetlen k�vetkezm�nyekkel, hiszen minden tov�bbi modul a megfelelő sorrendben v�grehajt�sra ker�l.
optionalAz ilyen jelzőjű modulok sikertelens�ge vagy sikere nem j�r semmilyen direkt k�vetkezm�nnyel. Ez olyan modulok eset�n hasznos, amelyeknek csak egy �zenetet kell megjelen�teni�k (p�ld�ul jelezni a felhaszn�l�nak, hogy levele �rkezett), egy�b teendők n�lk�l.
Ha ez a jelző meg van adva, akkor a param�terk�nt megadott f�jl besz�r�sra ker�l ezen a helyen.
A modul el�r�si �tj�t nem kell k�l�n megadni, amennyiben a modul az alap�rtelmezett k�nyvt�rban tal�lhat� (/lib/security, a SUSE Linux Enterprise�, �ltal t�mogatott 64 bites platformokon a k�nyvt�r neve /lib64/security). A negyedik oszlop az adott modul esetleges param�tereit tartalmazza. Ilyen lehet p�ld�ul a debug (a hibakeres�s enged�lyez�se) vagy a nullok (�res jelszavak haszn�lat�nak enged�lyez�se).
