Pam module

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Listing

  • cd /usr/lib/x86_64-linux-gnu/security/
  • ls
pam_access.so	  pam_ftp.so	    pam_mail.so       pam_securetty.so	 pam_timestamp.so
pam_debug.so	  pam_group.so	    pam_mkhomedir.so  pam_selinux.so	 pam_tty_audit.so
pam_deny.so	  pam_issue.so	    pam_motd.so       pam_sepermit.so	 pam_umask.so
pam_echo.so	  pam_keyinit.so    pam_namespace.so  pam_setquota.so	 pam_unix.so
pam_env.so	  pam_lastlog.so    pam_nologin.so    pam_shells.so	 pam_userdb.so
pam_exec.so	  pam_limits.so     pam_permit.so     pam_stress.so	 pam_usertype.so
pam_faildelay.so  pam_listfile.so   pam_pwhistory.so  pam_succeed_if.so  pam_warn.so
pam_faillock.so   pam_localuser.so  pam_rhosts.so     pam_systemd.so	 pam_wheel.so
pam_filter.so	  pam_loginuid.so   pam_rootok.so     pam_time.so	 pam_xauth.so

pam_krb5

  • Authentisierung via Kerberos V5
  • Konfiguration in /etc/krb5.conf

pam_deny

liefert immer Misserfolg

pam_login_access

  • Zugangsvoraussetzungen in /etc/login.access (auch pam_access)

pam_limits

  • Einstellen von Limits
  • definiert in /etc/security/limits.conf

pam_console

  • Übertragen/Entziehen von Berechtigungen des Konsole-Nutzers
  • definiert in etc/security/console.apps und /etc/security/console.perms

pam_userdb

  • zusätzliche lokale Passwort-Datenbasis auswerten

pam_mkhomedir

  • HOME-Verzeichnis bei erster Anmeldung des Nutzers einrichten

pam_time

  • zeitabhängige Zugangssteuerung

pam_access

  • Stellt eine Art Access Control List zur Verfügung.
  • Das Modul erwartet eine Konfigurationsdatei »/etc/security/access.conf«.
  • Dort pflegt der Admin Erlaubnis : Anwender : Ursprung-Listen.

pam_afs

  • Dieses Authentifizierungsmodul kennt zwei Betriebsarten.
  • Entweder authentifiziert ein anderes Modul den Benutzer, dann holt »pam_afs« nur noch das Token vom AFS-Server.
  • Oder »pam_afs« authentifiziert den User ebenfalls selbst.

pam_chroot

  • Dieses Modul enthält Account-, Session- und Authentifizierungskomponenten.
  • Es versetzt Benutzer beim Login in einen Changeroot-Käfig.

pam_cracklib

  • Setzt Richtlinien für gute Passwörter durch, Benutzer können damit keine erkennbar schlechten Passwörter verwenden.
  • Das Modul arbeitet in der Kategorie »Password«.
  • Es benötigt die Cracklib und passende Wörterbücher.

pam_deny

  • Verhindert immer den Zugriff, dazu sendet das Modul eine entsprechende Rückmeldung an die aufrufende Applikation.

pam_devperm

  • Passt die Zugriffsrechte auf Device-Files an.
  • Damit dürfen lokal eingeloggte User zum Beispiel das Floppy-Laufwerk und die Soundkarte nutzen.
  • Es liest die Konfigurationsdatei »/etc/logindevperm«.

pam_env

  • Passt die Umgebungsvariablen an. Es benutzt dazu die Konfigurationsdatei »/etc/security/pam_env.conf«.
  • Diese kann festlegen, welche »DEFAULT«-Werte für eine Variable gelten oder wie diese überschrieben (»OVERRIDE«) werden sollen.

pam_lastlog

  • Kümmert sich als Modul der Session-Kategorie um die Datei »/var/log/lastlog« und trägt dort den Benutzer ein.
  • Es kann, wenn das nicht schon die Applikation erledigt, auch anzeigen, wann der Nutzer das letzte Mal angemeldet war.

pam_ldap

  • Benutzerauthentifizierung gegen eine LDAP-Datenbank.
  • Je nachdem, wie dieses Modul kompiliert wurde, bezieht es seine LDAP-Konfiguration aus »/etc/ldap.conf« oder »/etc/ldap/ldap.conf«.

pam_limits

  • Erlaubt es dem Systemadministrator festzulegen, wie viel Systemressourcen (Speicher, CPU-Zeit …) dem Benutzer maximal zur Verfügung stehen.
  • Diese Einschränkungen gelten nicht für User mit der ID 0.
  • Die Konfigurationsdatei für dieses Modul ist »/etc/security/limits.conf«.

pam_mktemp

  • Kann als Teil des Session- oder Accountmanagements für angemeldete Benutzer ein persönliches Temporärverzeichnis festlegen.
  • Hierzu setzt es die Umgebungsvariablen »TMPDIR« und »TMP«.

pam_nologin

  • Prüft, ob die Datei »pam_nologin« existiert.
  • Wenn ja, zeigt es jedem Benutzer (bis auf den Systemadministrator) den Inhalt dieses Files und verhindert, dass sich der User anmeldet.

pam_permit

  • Liefert immer ein fröhliches »sucess«.
  • Dieses Modul sollte nur unter sehr speziellen Bedingungen zum Einsatz kommen.

pam_pwcheck

  • Stellt Hilfsfunktionen in der »password«-Kategorie für die Passwortänderung zur Verfügung.
  • Es verwendet Einstellungen aus »/etc/login.defs«.
  • Hier kann der Admin mittels Modulargument festlegen, nach welchem Crypt-Verfahren (»md5«, »blowfish« …) das Passwort verschlüsselt wird.

pam_rootok

  • Ein Modul der Authentifizierungskategorie.
  • Es kann fürbestimmte Dienste (wie »su«) dem Admin einen Login ohne Passwort erlauben.
  • Auf diese Weise kann Root zu einem normalen User werden, ohne dessen Passwort wissen zu müssen.

pam_securetty

  • Stellt fest, von welchem Terminal (TTY) sich der Systemadministrator anmelden darf.
  • Die Datei »/etc/securetty« enthält hierfür eine Liste von Devices, von denen aus sich Root anmelden kann.

pam_unix

  • Das Standard-Unix-Authentifizierungsmodul, das ebenfalls
  • Komponenten für »session«, »password«
  • und »account« zur Verfügung stellt. Es benutzt die
  • Standardaufrufe der Systembibliotheken und beschafft Informationen
  • aus »/etc/passwd« und »/etc/shadow«.

pam_warn

  • Hat die Aufgabe, Log-Output zu generieren und an den Syslog weiterzugeben.
  • Es arbeitet in den Kategorien »authentication« und »password«.

pam_winbind

  • Kommt mit der Samba-Suite und erlaubt eine Authentifizierung gegen Windows-Systeme.

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Pam_module&oldid=39835