ماژول احراز هویت نردبان لینوکس (پم) یک چارچوب برای احراز هویت کاربر سیستم گسترده فراهم می کند. برای نقل قول پروژه:
پم یک راه برای توسعه برنامه هایی که مستقل از طرح احراز هویت هستند را فراهم می کند. این برنامه ها برای کار کردن به "ماژول های احراز هویت" نیاز دارند تا در زمان اجرا به هم متصل شوند. اینکه کدام ماژول احراز هویت باید متصل شود به تنظیم سیستم محلی بستگی دارد و به صلاحدید مدیر سیستم محلی است.
این مقاله توضیح می دهد قوس لینوکس پایه تنظیم پیش فرض برای پم به تصدیق کاربران محلی و از راه دور. اعمال تغییرات در پیش فرض ها موضوع مقالات تخصصی در هر موضوع است.
محتویات
نصب و راه اندازی
بسته پم وابستگی بسته متا پایه است و در نتیجه به طور معمول بر روی یک سیستم قوس نصب می شود. ماژول های پم به طور انحصاری به /ایالات متحده/معاونت/امنیت نصب شده است.
مخازن شامل تعدادی از بسته های پم اختیاری, # پیکربندی چگونه فایرفاکس نمونه نشان می دهد.
پیکربندی
اجرای پکمن-پرس و جو-لیست پم | گرپ /و غیره برای دیدن فایل های پیکربندی پیش فرض ایجاد شده. اینها به #پارامترهای امنیتی برای ماژول ها یا پیکربندی #پم پایه پشته مربوط می شوند.
پارامترهای امنیتی
مسیر/و غیره / امنیت شامل پیکربندی سیستم خاص برای متغیرهای روش احراز هویت پیشنهاد. نصب پایه با فایل های پیکربندی پیش فرض بالادست پر می شود.
توجه داشته باشید قوس لینوکس می کند پیکربندی توزیع خاص برای این فایل ها را فراهم نمی کند. به عنوان مثال/و غیره / امنیت/کیفیت.فایل کنفرانس را می توان مورد استفاده برای تعریف پیش فرض سیستم گسترده ای برای کیفیت رمز عبور. تا بتواند این کار را انجام دهد: pam_pwquality. so ماژول به #پم پایه پشته از ماژول های است که مورد در هر پیش فرض اضافه شده است.
برای برخی از احتمالات به #پیکربندی پارامتر امنیتی مراجعه کنید.
پایه پم-پشته
این /و غیره/پم.د / مسیر منحصر به فرد برای پیکربندی پم به لینک برنامه های کاربردی به طرح های احراز هویت سیستم های فردی است. در هنگام نصب پایه سیستم توسط:
- بسته پام بیس, که شامل پایه پشته از قوس لینوکس پیکربندی پم خاص به برنامه های کاربردی مورد استفاده قرار گیرد, و
- دیگر بسته های پایه. مثلا, برنامه زمانی-لینوکس می افزاید: پیکربندی برای ورود به سیستم مرکزی و برنامه های دیگر, بسته سایه اضافه می کند به طور پیش فرض قوس لینوکس به امن و تغییر پایگاه داده کاربر (کاربران و گروه را ببینید).
فایل های پیکربندی مختلف از لینک نصب و راه اندازی پایه با هم و در طول زمان اجرا انباشته. مثلا, در لاگین کاربر محلی, نرم افزار ورود منابع سیستم-محلی-سیاست ورود, که به نوبه خود منابع دیگران:
برای یک برنامه متفاوت ممکن است مسیر متفاوتی اعمال شود. به عنوان مثال اپنسش خط مشی اس اس دی پم را نصب می کند:
در نتیجه انتخاب فایل پیکربندی در پشته اهمیت دارد. برای مثال بالا ممکن است یک روش احراز هویت ویژه فقط برای ورود به سیستم یا همه ورودهای از راه دور با تغییر سیستم ورود از راه دور مورد نیاز باشد. استفاده از تغییر به سیستم ورود و یا سیستم تایید به جای باری محلی و از راه دور را تحت تاثیر قرار.
هر برنامه ای برای نصب خط مشی خود به /و غیره/پم مورد نیاز است.د به منظور ادغام و تکیه بر پم پشته مناسب. اگر یک برنامه نتواند این کار را انجام, /و غیره/پم.د / سایر سیاست های پیش فرض برای انکار و ورود به سیستم هشدار اعمال می شود.
نکته: پم به صورت پویا در زمان اجرا مرتبط است. به عنوان مثال: برنامه ورود به سیستم پم است و بنابراین باید یک خط مشی داشته باشد.
پم بسته کتابچه راهنمای صفحات پم(8) و پم.د (5) محتوای استاندارد فایل های پیکربندی را توصیف کنید. به ویژه چهار گروه پم را توضیح می دهند: حساب, احراز هویت, رمز عبور, و مدیریت جلسه, و همچنین مقادیر کنترلی که ممکن است برای پیکربندی انباشته شدن و رفتار ماژول ها استفاده شود.
علاوه بر این, مستندات گسترده به نصب /ایالات متحده/سهم/توضیحات/لینوکس پم/فهرست مطالب.اچ تی ام ال که, در میان راهنماهای مختلف, شامل صفحات مرد قابل مرور برای هر یک از ماژول های استاندارد.
هشدار: تغییرات در پیکربندی پم اساسا احراز هویت کاربر تاثیر می گذارد. تغییرات اشتباه می تواند منجر به این شود که هیچ کاربری نمی تواند وارد سیستم شود یا همه کاربران می توانند وارد سیستم شوند.
نکته: تغییرات برای کاربران در حال حاضر تصدیق موثر نیست; راه برای کار با پم است برای ورود ترجیحا به صورت محلی بر روی دستگاه تست و توسعه, نگه داشتن جلسه به طور مداوم در حال اجرا, در حالی که چک کردن نتایج از یک کاربر دیگر در کنسول دیگر.
مثالها
دقت واقعی این مقاله یا بخش مورد اختلاف است.
دلیل: (1) استفاده از پوچ (2) راه پم دسته ماژول های اختیاری (بحث در بحث: پم#دقت پم#نمونه)
دو مثال کوتاه برای نشان دادن هشدار فوق.
ابتدا دو خط زیر را می گیریم:
مولفه احراز هویت pam_unix. so انجام وظیفه چک کردن اعتبار کاربران (رمز عبور). عمل به طور پیش فرض از این ماژول است که اجازه دسترسی کاربر به یک سرویس اگر رمز عبور رسمی خود را خالی است.
- دومی چیزی است که pam_permit. so استفاده می شود برای. به سادگی مبادله مقادیر کنترل مورد نیاز و اختیاری برای هر دو خط به اندازه کافی برای غیر فعال کردن احراز هویت رمز عبور است.
دومین, به عنوان مثال برعکس, در پیکربندی پیش فرض از pam_nologin. so در / و غیره/پم.د / ورود, ایجاد فایل زیر:
نتایج در که هیچ کاربر دیگر از ریشه ممکن است ورود (اگر باری ریشه مجاز, پیش فرض دیگر برای قوس لینوکس). برای اجازه باری دوباره, حذف فایل. احتمالا از کنسولی که با او ایجاد کرده اید.
با که به عنوان پس زمینه, دیدن #پم پشته و ماژول پیکربندی برای خاص پیکربندی مورد استفاده.
نحوه پیکربندی
در این بخش یک مرور کلی از محتوای با شرح چگونگی اعمال تغییرات به پیکربندی پم و چگونه به ادغام ماژول های پم جدید ویژه به پشته پم فراهم می کند. توجه داشته باشید صفحات مرد برای ماژول به طور کلی می تواند رسیده باشد انداختن .
پیکربندی پارامتر امنیتی
بخشهای زیر مثالهایی را برای تغییر پیکربندی پیش فرض پارامتر پم توصیف می کنند:
پم پشته و پیکربندی ماژول
مقالات زیر نحوه تغییر پشته پایه #پم را برای موارد استفاده خاص توضیح می دهد.
پام_مثالهای مفصل برای استفاده pam_mount. so برای خودکار کردن مسیرهای دایرکتوری رمزگذاری شده در ورود کاربر. #استفاده از نصب خودکار pam_ecryptfs. so برای خودکار کردن یک دایرکتوری رمزگذاری شده. دخمه/نصب و راه اندازی در ورود نشان می دهد که چگونه به استفاده از pam_exec. so برای اجرای یک اسکریپت سفارشی در ورود کاربر. ادغام اکتیو دایرکتوری#پیکربندی استفاده از پم pam_winbind. so و pam_krb5. so برای احراز هویت کاربران از طریق سرویس های اکتیو دایرکتوری. یک مقاله در مورد ادغام کلاینت یا احراز هویت سمت سرور با است pam_ldap. so . یوبیکی#احراز هویت کاربر لینوکس با پم نحوه استفاده از یو2 اف را شرح می دهد ( pam_u2f. so ) و پیاده سازی اختصاصی یوبیکو ( pam_yubico. so ) تهیه شده توسط یوبیکی با پام پام_وات نمونه ای را برای پیاده سازی احراز هویت دو عاملی مبتنی بر نرم افزار با نشان می دهد pam_oath. so . چاپگر استخدام می کند pam_fprintd. so برای راه اندازی احراز هویت اثر انگشت. نام کاربری و رمز عبور را برای ورود خودکار ذخیره می کند. پام_اسب نحوه پیکربندی را نشان می دهد pam_usb. so برای استفاده از یواس بی دستگاه برای, به صورت اختیاری دو عامل, احراز هویت. کلیدهای اس اس اش#پام_ش استفاده می کند pam_ssh. so برای احراز هویت به عنوان یک کاربر از راه دور. پ_ابل توضیح می دهد که چگونه pam_abl. so می تواند برای محدود کردن حملات بی رحمانه از طریق اس اس اچ استفاده شود. ممکن است از طریق خودکار pam_encfs. so . احراز هویت گوگل نشان می دهد که چگونه به راه اندازی احراز هویت دو عامل با pam_google_authenticator. so . بسیار امن اف تی پی شبح#پم با کاربران مجازی توضیح می دهد که چگونه برای پیکربندی کروت اف تی پی با pam_pwdfile. so برای احراز هویت کاربران بدون حساب سیستم محلی.
بسته های پم بیشتر
دیگر از کسانی که بسته های ذکر شده تا کنون, مخزن کاربر قوس شامل تعدادی از ماژول های پم اضافی و ابزار.
ابزار هدف کلی مربوط به پم است:
- پامستر-برنامه برای تست ماژول احراز هویت نردبان (پم) تسهیلات
توجه داشته باشید که اورال دارای یک برچسب کلمه کلیدی برای پم است اما همه بسته های موجود به روز نمی شوند. از این رو, جستجو توضیحات بسته ممکن است لازم باشد.
