Linux操作系統(tǒng)配置與管理課件：PAM應(yīng)用

Linux操作系統(tǒng)配置與管理

PAM應(yīng)用

學(xué)習(xí)要點(diǎn)PAM的構(gòu)成。PAM配置文件分析。PAM的認(rèn)證模塊10.1PAM的構(gòu)成1.PAM認(rèn)證結(jié)構(gòu)

認(rèn)證模塊PAMAPI和配置文件（接口）FTPTELNETPOP3等應(yīng)用調(diào)用響應(yīng)請(qǐng)求返回認(rèn)證結(jié)果10.1PAM的構(gòu)成2.PAM組成和配置文件在LINUX中可以通過(guò)認(rèn)證模塊執(zhí)行各種認(rèn)證任務(wù)，這些認(rèn)證模塊是一些擴(kuò)展名為.so的庫(kù)文件，這些庫(kù)文件保存在/lib/security目錄下.

10.2PAM配置文件分析配置文件由模塊類型、控制標(biāo)志、認(rèn)證模塊、模塊參數(shù)4個(gè)字段內(nèi)容構(gòu)成的系列表項(xiàng)，字段之間以空格分開(kāi)。如下所示：authrequiredpam_env.soauthsufficientpam_unix.sonulloktry_first_pass

10.2PAM配置文件分析10.2.1模塊類型1.auth:對(duì)用戶輸入的用戶身份信息（用戶名、口令）進(jìn)行驗(yàn)2.account：處理基于非認(rèn)證級(jí)別的賬號(hào)管理。

3.passwrd:對(duì)用戶口令進(jìn)行修改時(shí)的相關(guān)限制。4.session:用戶獲得服務(wù)和用戶失去服務(wù)需要做的一些工作。

10.2PAM配置文件分析10.2.2控制標(biāo)志1.單一關(guān)鍵字。Required:無(wú)論該模塊返回成功或者失敗，后續(xù)模塊都要繼續(xù)執(zhí)行

Response:如果該模塊認(rèn)證失敗，那么后續(xù)模塊可以不必執(zhí)行，系統(tǒng)直接返回認(rèn)證失敗的結(jié)果，否則繼續(xù)執(zhí)行后續(xù)模塊

Sufficient:如果前面的各模塊認(rèn)證是成功的，當(dāng)執(zhí)行到使用該控制標(biāo)志的模塊的時(shí)候，如果該模塊認(rèn)證成功，那么后續(xù)模塊可以不必執(zhí)行，系統(tǒng)直接返回成功的結(jié)果。

10.2PAM配置文件分析10.2.2控制標(biāo)志1.單一關(guān)鍵字。optional:該控制標(biāo)志的主要作用是記錄日志

include:用于嵌入其后的文件到當(dāng)前PAM中

10.2PAM配置文件分析10.2.3模塊參數(shù)用于向模塊傳遞一些需要的值，如下是一些常用參數(shù)：debug：使用syslog記錄debug日志信息。no_warn:使模塊不將警告信息傳給應(yīng)用程序。

use_first_pass:該模塊不提示用戶輸入密碼，而是使用前面一個(gè)模塊輸入的密碼。如果該密碼無(wú)效，那么驗(yàn)證失敗。這個(gè)參數(shù)只用于auth和password類型的模塊try_first_pass:當(dāng)模塊使用該參數(shù)的時(shí)候，會(huì)先使用前面模塊輸入的密碼進(jìn)行驗(yàn)證，如果失敗，那么提示用戶輸入密碼，這個(gè)參數(shù)只用于auth類型的模塊。

10.3常見(jiàn)PAM模塊常見(jiàn)模塊主要有pam_access認(rèn)證模塊、pam_chroot認(rèn)證模塊、pam_cracklib認(rèn)證模塊、pam_deny認(rèn)證模塊、pam_group認(rèn)證模塊、pam_ftp認(rèn)證模塊

、pam_issue認(rèn)證模塊、pam_limits認(rèn)證模塊類型

、_listfile認(rèn)證模塊、pam_mkhomedir認(rèn)證模塊

、Pam_nologin認(rèn)證模塊、pam_permit認(rèn)證模塊、pam_rootok認(rèn)證模塊、pam_security認(rèn)證模塊、pam_