Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Дело в том, что на многих UNIX-системах для аутентификации пользователей и назначения им идентификаторов используется библиотека PAM (Pluggable Authentication Modules). По умолчанию она настроена так, что проходить аутентификацию имеют право только локальные пользователи, да и то не все и не везде. Как видно из названия, библиотека построена по модульному принципу, причем за каждым сервисом, требующим аутентификации, можно закреплять свой список используемых модулей.
Настройка PAM специфична для каждого дистрибутива Linux, не говоря уже о BSD и прочих реализациях UNIX, так что предлагать готовое решение для чего-то одного было бы несправедливо. По этой причине рассмотрим основы конфигурации, а конкретное их применение каждый найдет для себя сам.
PAM – центр всей безопасности системы. Неграмотная его настройка может привести к достаточно разнообразным последствиям: как к тому, что в систему сможет войти кто угодно, так и к тому, что в нее больше никто никогда не войдет, даже администратор. Для последнего случая стоит постоянно держать несколько открытых незадействованных терминалов, при помощи которых в любой момент можно будет исправить допущенную фатальную ошибку. Вероятность этого невелика, но все же такая предосторожность не помешает.
Все параметры системы PAM указаны в нескольких файлах, находящихся в каталоге /etc/pam.d, так что перед внесением каких-либо изменений в конфигурацию стоит сделать ее резервную копию. Название файла – это имя программы, к которой следует применять находящиеся в нем настройки.
Конфигурация PAM организована в виде стека, то есть модули работают цепочкой, и если один из модулей, имеющий влияние на весь ход процесса аутентификации, решил закрыть или предоставить доступ в систему, то модули, следующие за ним, останутся незадействованными. Для упрощения настройки существует способ заполнять стек модулей из соседних файлов конфигурации. Обычно это используется для указания глобальных параметров аутентификации, единых для всех сервисов, а отдельные файлы лишь по необходимости дополняют существующие глобальные настройки.
Если ваша система PAM изначально была настроена с использованием одного общего файла конфигурации system-auth и ссылками на него из соседних, то стоит править только его, чтобы доменные пользователи смогли входить в систему наряду с локальными. В противном случае придется редактировать все файлы конфигурации для необходимых сервисов.
Структура самого файла состоит из построчного списка модулей. Формат строки каждого модуля следующий:
[тип] [влияние] [название модуля] [параметры]
где:
Тип |
Описание |
Пример |
auth |
Проводит идентификацию пользователя. Также назначает пользователю его идентификатор и идентификатор группы. |
Запрос имени и пароля и проверка его в соответствии с локальной базой паролей. |
account |
Отвечает за аспекты аутентификации, не связанные с взаимодействием с пользователем. |
Превышен ли лимит количества возможных пользователей в системе. |
session |
Позволяет совершать определенные действия непосредственно перед или сразу после входа пользователя в систему. |
Создание домашнего каталога, если таковой отсутствует. |
password |
Отвечает за аспекты, связанные со сменой пароля. |
Собственно смена пароля. |