Linux操作系統(tǒng)配置與管理課件：PAM應(yīng)用

Linux操作系統(tǒng)配置與管理

PAM應(yīng)用

學(xué)習(xí)要點PAM的構(gòu)成。PAM配置文件分析。PAM的認證模塊10.1PAM的構(gòu)成1.PAM認證結(jié)構(gòu)

認證模塊PAMAPI和配置文件（接口）FTPTELNETPOP3等應(yīng)用調(diào)用響應(yīng)請求返回認證結(jié)果10.1PAM的構(gòu)成2.PAM組成和配置文件在LINUX中可以通過認證模塊執(zhí)行各種認證任務(wù)，這些認證模塊是一些擴展名為.so的庫文件，這些庫文件保存在/lib/security目錄下.

10.2PAM配置文件分析配置文件由模塊類型、控制標志、認證模塊、模塊參數(shù)4個字段內(nèi)容構(gòu)成的系列表項，字段之間以空格分開。如下所示：authrequiredpam_env.soauthsufficientpam_unix.sonulloktry_first_pass

10.2PAM配置文件分析10.2.1模塊類型1.auth:對用戶輸入的用戶身份信息（用戶名、口令）進行驗2.account：處理基于非認證級別的賬號管理。

3.passwrd:對用戶口令進行修改時的相關(guān)限制。4.session:用戶獲得服務(wù)和用戶失去服務(wù)需要做的一些工作。

10.2PAM配置文件分析10.2.2控制標志1.單一關(guān)鍵字。Required:無論該模塊返回成功或者失敗，后續(xù)模塊都要繼續(xù)執(zhí)行

Response:如果該模塊認證失敗，那么后續(xù)模塊可以不必執(zhí)行，系統(tǒng)直接返回認證失敗的結(jié)果，否則繼續(xù)執(zhí)行后續(xù)模塊

Sufficient:如果前面的各模塊認證是成功的，當執(zhí)行到使用該控制標志的模塊的時候，如果該模塊認證成功，那么后續(xù)模塊可以不必執(zhí)行，系統(tǒng)直接返回成功的結(jié)果。

10.2PAM配置文件分析10.2.2控制標志1.單一關(guān)鍵字。optional:該控制標志的主要作用是記錄日志

include:用于嵌入其后的文件到當前PAM中

10.2PAM配置文件分析10.2.3模塊參數(shù)用于向模塊傳遞一些需要的值，如下是一些常用參數(shù)：debug：使用syslog記錄debug日志信息。no_warn:使模塊不將警告信息傳給應(yīng)用程序。

use_first_pass:該模塊不提示用戶輸入密碼，而是使用前面一個模塊輸入的密碼。如果該密碼無效，那么驗證失敗。這個參數(shù)只用于auth和password類型的模塊try_first_pass:當模塊使用該參數(shù)的時候，會先使用前面模塊輸入的密碼進行驗證，如果失敗，那么提示用戶輸入密碼，這個參數(shù)只用于auth類型的模塊。

10.3常見PAM模塊常見模塊主要有pam_access認證模塊、pam_chroot認證模塊、pam_cracklib認證模塊、pam_deny認證模塊、pam_group認證模塊、pam_ftp認證模塊

、pam_issue認證模塊、pam_limits認證模塊類型

、_listfile認證模塊、pam_mkhomedir認證模塊

、Pam_nologin認證模塊、pam_permit認證模塊、pam_rootok認證模塊、pam_security認證模塊、pam_