ماژول Apache mod_authnz_pam به عنوان ماژول مجوز PAM خدمت می کند و تأیید اعتبار انجام شده توسط ماژول های دیگر ، به عنوان مثال mod_auth_kerb. همچنین می تواند به عنوان یک ارائه دهنده کامل تأیید اعتبار ، با اجرای تأیید اعتبار [ورود ، رمز عبور] از طریق پشته PAM استفاده شود.

استفاده اصلی در نظر گرفته شده در ارتباط با SSSD وpam_sss. soاما می توان از هر سرویس PAM با هرگونه پیکربندی پشته PAM برای گروه های AUTH و مدیریت حساب استفاده کرد.

بارگیری mod_authnz_pam-1. 2. 3. tar. gz ، آخرین نسخه. منبع را در GitHub یا Fedorapeople. org مشاهده کنید.

اعتبار

بگذارید فرض کنیم که تأیید اعتبار Kerberos در حال حاضر پیکربندی شده است:

 authType kerberos authname "kerberos login" krbmethodnegotiate on krbmethodk5passwd krbauthrealms مثال. krb5keytab /etc/http. keytab krblocalusermapping نیاز به کاربر معتبر 

دربه کاربر معتبر نیاز داردخط را می توان جایگزین کرد

به PAM-ACCOUNT PAM_SERVICE_NAME نیاز دارید

به عنوان مثال برای اجرای مجوز برای کاربر معتبر Kerberos با استفاده از سرویس PAM PAM_SERVICE_NAME.

این می تواند برای به عنوان مثال کنترل دسترسی مبتنی بر میزبان از سرور IPA برای سرویس وب مفید باشد.

احراز هویت اساسی

این ماژول با استفاده از دستورالعمل AuthBasicProvider PAM و سپس با مشخص کردن نام سرویس PAM: AuthPamservice name_of_the_pam_service سرویس PAM برای تأیید اعتبار در برابر آن پیکربندی شده است.

 AuthType AuthName اساسی "منطقه خصوصی" 

سرویس PAM باید پیکربندی شود. برای مثال Tlwiki در بالا نشان داده شده ، پرونده/etc/pam. d/tlwikiمی تواند با محتوا ایجاد شود

Auth به حساب pam_sss. se نیاز دارد Pam_sss. so

برای تأیید اعتبار در برابر SSSD.

به عنوان بخشی از عملیات اصلی احراز هویت ، هر دو تأیید اعتبار PAM و تأیید حساب PAM (Auth و حساب در پیکربندی سرویس PAM) اجرا می شوند. این امر برای اطمینان از بازگشت وضعیت HTTP 401 در هنگام عدم اجازه کاربر برای ورود به سیستم ، اجازه بازگشت به مکانیسم تأیید هویت مختلف را می دهد. این همچنین بدان معنی است که برای مثال فوق

authbasicprovider pam authpamservice tlwiki

استفاده از آن لازم نیست

به Pam-Account tlwiki نیاز دارید

از آنجا که

به کاربر معتبر نیاز دارد

کافی است زیرا تأیید حساب به عنوان بخشی از احراز هویت HTTP اجرا می شود. در واقع ، استفادهبه حساب PAM نیاز داردبا همان نام سرویس PAM باعث می شود که بررسی های PAM حساب دو بار اجرا شود. از طرف دیگر ، پیکربندی امکان پذیر استبه حساب PAM نیاز داردبا نام سرویس PAM متفاوت ازخدمتکاردر طول احراز هویت اصلی ، دو چک PAM حساب جداگانه دریافت کنید.

رسیدگی به رمز عبور منقضی شده

AuthPamexpiredRect[]

هم برای مجوز و هم برای تأیید هویت اصلی HTTP ، اگر رمز عبور کاربر ارائه شده منقضی شده باشد (PAM Retu Codes PAM_CRED_EXPIRED یا PAM_NEW_AUTHTOK_REQD) ، هنگامی که authpamexpiredredirect با یک URL مشخص می شود ، تغییر مسیر به آن مکان انجام می شود. برای سرور FreeIPA ، تنظیمات خواهد بود

authPamexpiredRedirect https: ///ipa/ui/reset_password. html

به طور پیش فرض ، تغییر مسیر با استفاده از 303 مشاهده می شود. وضعیت تغییر مسیر را می توان به عنوان مقدار عددی در محدوده 3xx مشخص کرد.

همچنین می توان از متغیرهای موجود در URL استفاده کرد که با موقعیت فعلی (برای بازگشت به عقب) و نام کاربری (برای مقدمه) در صفحه هدف جایگزین می شود:

url ٪ S از صفحه فعلی.٪ U نام کاربری که برای احراز هویت PAM استفاده شده است.٪٪ شخصیت ٪ خود.

به عنوان مثال برای FreeIPA 4. 1+ ، مقدار در واقع می تواند باشد

https: ///ipa/ui/reset_password. html؟ url = ٪ s

سلیوکس

در سیستم های فعال شده Selinux ، بولیhttpd_mod_auth_pamباید فعال شود:

setseboo l-p httpd_mod_auth_pam 1

ساختمان از منابع

هنگام ساختن از منابع ، فرمان

apx s-i - a-c mod_authnz_pam. c-lpa m-wal l-pedantic

باید ماژول را بسازید و نصب کنید.

مجوز

کپی رایت 2013--2022 Jan Pazdziora

مجوز تحت مجوز Apache ، نسخه 2. 0 ("مجوز") ؛شما ممکن است از این پرونده استفاده نکنید به جز مطابق با مجوز. شما می توانید یک نسخه از مجوز را در http://www. apache. org/licenses/license-2. 0 دریافت کنید ، مگربدون ضمانت یا شرایط از هر نوع ، صریح یا ضمنی. مجوز برای زبان خاص حاکم بر مجوزها و محدودیت های تحت مجوز را مشاهده کنید.

یان پازدزورا

• صفحه شخصی من

اسناد ، آموزش ها

• تبدیل Centos 8 به Rhel
• برچسب زدن و جمع آوری برچسب های SWID
• به حداقل رساندن نصب ایستگاه کاری
• چرا من به ندرت اشکالات را در برابر خط مشی Selinux ثبت می کنم
• Freeipa در پشت HTTP Load Balancer