Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Beispiele f�r PAM-Konfigurationsdateien

16.4. Beispiele f�r PAM-Konfigurationsdateien

Eine Konfigurationsdatei einer PAM-Anwendung sieht z.B. wie folgt aus:

#%PAM-1.0
auth      required  pam_securetty.so
auth      required  pam_unix.so shadow nullok
auth      required  pam_nologin.so
account   required  pam_unix.so
password  required  pam_cracklib.so retry=3
password  required  pam_unix.so shadow nullok use_authtok
session   required  pam_unix.so

Die erste Zeile ist ein Kommentar, was durch das Hash-Zeichen (#) am Anfang der Zeile erkenntlich ist.

Die Zeilen zwei bis vier stellen drei Module in den Stack f�r die Authentifizierung bei der Anmeldung.

auth      required  pam_securetty.so

Wenn der Benutzer sich als Root anzumelden versucht, stellt dieses Modul sicher, dass das Terminal, an dem er sich anmeldet, in der Datei /etc/securetty aufgef�hrt ist, falls solch eine Datei existiert.

auth      required  pam_unix.so shadow nullok

Dieses Modul fragt den Benutzer in einer Prompt nach einem Passwort und �berpr�ft dieses Passwort anhand der Information in /etc/passwd und in /etc/shadow, falls vorhanden.Das Modul pam_unix.so erkennt automatisch gespeicherte Shadow-Passw�rter und verwendet diese zur Authentifizierung von Benutzern. Siehe Abschnitt 6.5 f�r weitere Informationen.

Das Argument nullok weist das Modul pam_unix.so an, ein leeres Passwort zuzulassen.

auth      required  pam_nologin.so

Das ist der letzte Schritt der Authentifizierung. Es wird gepr�ft, ob die Datei /etc/nologin existiert. Falls nologin existiert und der Benutzer nicht als Root angemeldet ist, schl�gt die Authentifizierung fehl.

AnmerkungAnmerkung
 

In diesem Beispiel werden alle drei auth Module �berpr�ft, auch wenn schon beim ersten auth Modul Fehler auftreten. Der Grund daf�r ist: wenn ein Benutzer wei�, weshalb seine Authentifizierung abgelehnt wurde, ist es f�r ihn einfacher, diese zu umgehen.

account   required  pam_unix.so

Dieses Modul �bernimmt jegliche Pr�fung des Benutzeraccounts. Wenn z.B. Shadow-Passw�rter aktiviert worden sind, �berpr�ft das Modul pam_unix.so, ob der Account abgelaufen ist oder ob der Benutzer keine Passwort�nderung vorgenommen hat und die Nachfrist f�r eine �nderung abgelaufen ist.

password  required  pam_cracklib.so retry=3

Ist ein Passwort abgelaufen, fordert die Passwort-Komponente des pam_cracklib.so Moduls zur Eingabe eines neuen Passworts auf. Zus�tzlich wird das neue Passwort getestet, um festzustellen, ob es einfach durch ein W�rterbuch-basiertes Programm zum Erkennen von Passw�rtern erkannt werden kann. Schl�gt der Test einmal fehl, hat der Benutzer aufgrund des Arguments retry=3 zwei weitere M�glichkeiten, ein besseres Passwort zu erstellen.

password  required  pam_unix.so shadow nullok use_authtok

Diese Zeile legt fest, dass bei einer �nderung des Benutzer-Passworts durch das Programm die password Komponente des pam_unix.so Moduls verwendet wird. Das passiert nur, wenn der Teil auth des pam_unix.so Moduls bestimmt, dass das Passwort ge�ndert werden muss.

Das Argument shadow teilt dem Modul mit, beim Updaten eines Benutzer-Passworts ein Shadow-Passwort zu erstellen.

Das Argument nullok weist das Modul an, dem Benutzer zu erlauben sein Passwort von einem leeren Passwort zu �ndern. Andernfalls wird ein Null-Passwort als Account-Sperre betrachtet.

Das letzte Argument dieser Zeile use_authtok ist ein gutes Beispiel f�r die Wichtigkeit der Reihenfolge beim Stapeln von PAM-Modulen. Dieses Argument weist das Modul an, den Benutzer nicht zur Eingabe eines neuen Passworts aufzufordern. Stattdessen wird jedes Passwort akzeptiert, das von vorherigen Passwort-Modulen verwendet wurde. Auf diese Weise m�ssen allen neuen Passw�rter den pam_cracklib.so Test f�r sichere Passw�rter durchlaufen, bevor diese akzepiert werden.

session required pam_unix.so

Die letzte Zeile gibt an, dass das Modul pam_unix.so f�r die Verwaltung der Sitzung verwendet werden soll. Dieses Modul protokolliert bei jedem Start und Ende einer Sitzung den Benutzernamen und den Service-Typ in die Datei /var/log/messages. Wenn Sie weitere Funktionen ben�tigen, kann es durch das Stapeln mit anderen Sitzungsmodulen erg�nzt werden.

Die n�chste Beispielkonfigurationsdatei erl�utert das auth Modulstapeln f�r den rlogin Dienst.

#%PAM-1.0
auth      required    pam_nologin.so
auth      required    pam_securetty.so
auth      required    pam_env.so
auth      sufficient  pam_rhosts_auth.so
auth      required    pam_stack.so service=system-auth

Zun�chst �berpr�ft pam_nologin.so, ob /etc/nologin existiert. Ist dies der Fall, kann sich niemand anmelden, mit Ausnahme des Rootbenutzers.

auth      required    pam_securetty.so

Anschlie�end verhindert pam_securetty.so, dass Root-Anmeldungen auf unsicheren Terminals vorgenommen werden k�nnen. Damit werden praktisch alle Root-Anmeldungen �ber rlogin aus Sicherheitsgr�nden verhindert.

TippTipp
 

Um sich als Root von einem Remote-Rechner aus anzumelden, benutzen Sie OpenSSH. F�r weitere Informationen zum SSH Protokoll siehe Kapitel 20.

auth      required    pam_env.so

Diese Zeile l�dt das Modul pam_env.so, das die in /etc/security/pam_env.conf angegebenen Umgebungsvariablen festlegt.

auth      sufficient  pam_rhosts_auth.so

Das pam_rhosts_auth.so Modul authentifiziert den Benutzer unter Verwendung von .rhosts im Hauptverzeichnis des Benutzers. Sollte dies erfolgreich sein, wird PAM die Authentifizierung als erfolgreich ansehen. Sollte pam_rhosts_auth.so fehlschlagen, wird dieser Versuch der Authentifizierung ignoriert.

auth      required    pam_stack.so service=system-auth

Wenn die Authentifizierung des Benutzers durch pam_rhosts_auth.so gescheitert ist, f�hrt das pam_stack.so Modul eine normale Passwort-Authentifizierung durch.

Das Argument service=system-auth bedeutet, dass der Benutzer die PAM-Konfiguration zur System- Authentifizierung in /etc/pam.d/system-auth durchlaufen muss.

TippTipp
 

Wenn Sie den Prompt beim Eingeben des Passworts nicht anzeigen m�chten, nachdem die securetty Pr�fung fehlgeschlagen ist, k�nnen Sie das pam_securetty.so Modul von required in requisite �ndern.

 
 
  Published under the terms of the GNU General Public License Design by Interspire