Zusammenspiel von PAM und NSS: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
[[Kategorie:PAM]]
 
=Grundsätzliches=
 
=Grundsätzliches=
 
*Um einen Linuxclient gegen eine beliebige Datenquelle zu authentifizieren braucht man 2 Dinge:
 
*Um einen Linuxclient gegen eine beliebige Datenquelle zu authentifizieren braucht man 2 Dinge:
 
*Datenbankverknüpfung von den NSS
 
*Datenbankverknüpfung von den NSS
*Datenbankverknüpfung von den PAM
+
*Datenbankverknüpfung von der PAM
*Dazu gibt es in der Regel Module die je eine Konfigurationsdateien haben.
+
*Dazu gibt es in der Regel Module die je eine Konfigurationsdatei haben.
=Name Service Switch=
 
*Der Name Service Switch (NSS) steht für eine Schnittstelle aus Software zur Kombination grundlegend verschiedener Datenquellen durch Module.
 
*In unixartigen Betriebssystemen erlaubt der NSS die Konfiguration verschiedener Datenquellen für das Auflösen von Konfigurationsdaten.
 
*Dies können unter anderem Hosts, Benutzer und Gruppen sein.
 
*Es ist möglich die lokalen Konfigurationsdateien um externe Datenbanken zu ergänzen.
 
;Konfigurationsdatei
 
*cat /etc/nsswitch.conf
 
<pre>
 
passwd:        files systemd
 
group:          files systemd
 
shadow:        files ato
 
gshadow:        files
 
  
hosts:         files dns
+
{{#drawio:pam-nss-db}}
networks:      files
 
  
protocols:      db files
+
=NSS=
services:      db files
+
*[[Name Service Switch Prinzip]]
ethers:        db files
+
=PAM=
rpc:            db files
+
*[[Pluggable Authentication Modules Prinzip]]
 
+
=Resumee=
netgroup:      nis
+
*NSS wird während des Betriebs permanent konsultiert.
 
+
*PAM nur bei Einloggen oder bei Passwortänderungen.
</pre>
 
;Bei einem Aufruf von Programmen wird die /etc/nsswitch.conf konsultiert.
 
*ls -l /home/xinux/.profile
 
-rw-r--r-- 1 '''xinux''' '''users''' 0 Jan 11 14:00 /home/xinux/prog.log
 
Für den User werden die Datenbanken in der nsswitch nacheinander im Eintrag '''passwd''' befragt.
 
==User==
 
===files===
 
*schaut in der /etc/passwd nach
 
===systemd===
 
*Stellt sicher das nobody und root immer aufgelöst werden können.
 
Für die Group werden die Datenbanken in der nsswitch nacheinander im Eintrag '''group''' befragt.
 
==Group==
 
===files===
 
*schaut in der /etc/group nach
 
===systemd===
 
*Stellt sicher die Gruppen nobody und root immer aufgelöst werden können.
 
====
 
;Befragung von nsswitch abgeschaltet
 
*ss -ltnp | grep ssh
 
LISTEN 0      128          0.0.0.0:22        0.0.0.0:*    users:(("sshd",pid=1417,fd=3))     
 
LISTEN 0      128            [::]:22          [::]:*    users:(("sshd",pid=1417,fd=4))
 
;Befragung von nsswitch abgeschaltet
 
*ss -ltp | grep ssh
 
LISTEN 0      128          0.0.0.0:'''ssh'''      0.0.0.0:*    users:(("sshd",pid=1417,fd=3))     
 
LISTEN 0      128            [::]:'''ssh'''          [::]:*   users:(("sshd",pid=1417,fd=4))
 
  
 
=Links=
 
=Links=
 
*https://manpages.debian.org/testing/manpages-de/nss-systemd.8.de.html#:~:text=nss%2Dsystemd%20ist%20ein%20Erweiterungsmodul,C%2DBibliothek%20(glibc).
 
*https://manpages.debian.org/testing/manpages-de/nss-systemd.8.de.html#:~:text=nss%2Dsystemd%20ist%20ein%20Erweiterungsmodul,C%2DBibliothek%20(glibc).

Aktuelle Version vom 28. August 2024, 00:04 Uhr

Grundsätzliches

  • Um einen Linuxclient gegen eine beliebige Datenquelle zu authentifizieren braucht man 2 Dinge:
  • Datenbankverknüpfung von den NSS
  • Datenbankverknüpfung von der PAM
  • Dazu gibt es in der Regel Module die je eine Konfigurationsdatei haben.

NSS

PAM

Resumee

  • NSS wird während des Betriebs permanent konsultiert.
  • PAM nur bei Einloggen oder bei Passwortänderungen.

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Zusammenspiel_von_PAM_und_NSS&oldid=55855