آشنایی با حساب PAM

لینوکس از PAM (ماژول های احراز هویت قابل استفاده) در فرآیند تأیید اعتبار به عنوان لایه ای که بین کاربر و برنامه واسطه است ، استفاده می کند. ماژول های PAM به صورت گسترده ای در دسترس هستند ، بنابراین می توان آنها را توسط هر برنامه ای درخواست کرد. در این فصل نحوه عملکرد مکانیسم احراز هویت مدولار و نحوه پیکربندی آن توضیح داده شده است.

3. 1 پام چیست؟#منبع ویرایش

مدیران و برنامه نویسان سیستم اغلب می خواهند دسترسی به قسمت های خاصی از سیستم را محدود کنند یا استفاده از برخی از کارکردهای یک برنامه را محدود کنند. بدون PAM ، برنامه های کاربردی باید هر بار که یک مکانیسم احراز هویت جدید مانند LDAP ، سامبا یا کربروس معرفی شود ، اقتباس شود. با این حال ، این فرایند وقت گیر و مستعد خطا است. یکی از راه های جلوگیری از این اشکالاتی ، جدا کردن برنامه ها از مکانیسم تأیید اعتبار و تأیید اعتبار به ماژول های مدیریت شده مرکزی است. هر زمان که یک طرح احراز هویت تازه مورد نیاز لازم باشد ، برای سازگاری یا نوشتن یک ماژول PAM مناسب برای استفاده توسط برنامه مورد نظر کافی است.

مفهوم PAM شامل موارد زیر است:

ماژول های PAM ، که مجموعه ای از کتابخانه های مشترک برای یک مکانیسم احراز هویت خاص هستند.

پشته ماژول با یک یا چند ماژول PAM.

یک سرویس Aware PAM که با استفاده از ماژول های ماژول یا ماژول PAM نیاز به تأیید اعتبار دارد. معمولاً یک سرویس یک نام آشنا از برنامه مربوطه مانند ورود به سیستم یا SU است. نام سرویس دیگر یک کلمه رزرو شده برای قوانین پیش فرض است.

آرگومان های ماژول ، که با آن می توان یک ماژول PAM را تحت تأثیر قرار داد.

مکانیسم ارزیابی هر نتیجه از یک ماژول PAM منفرد. یک مقدار مثبت ماژول PAM بعدی را اجرا می کند. نحوه برخورد با یک مقدار منفی به پیکربندی بستگی دارد: "بدون تأثیر ، ادامه دهید" تا "بلافاصله خاتمه دهید" و هر چیزی که بین گزینه های معتبر است.

3. 2 ساختار یک فایل پیکربندی PAM #منبع #edit

PAM را می توان از دو طریق پیکربندی کرد:

پیکربندی هر سرویس در /etc/pam.conf ذخیره می شود. با این حال ، به دلایل نگهداری و قابلیت استفاده ، این طرح پیکربندی در LEAP OpenSUSE استفاده نمی شود.

پیکربندی مبتنی بر دایرکتوری (/etc/pam. d/)

هر سرویس (یا برنامه ای) که به مکانیسم PAM متکی است ، پرونده پیکربندی خاص خود را در فهرست/etc/pam. d/ دارد. به عنوان مثال ، سرویس SSHD را می توان در پرونده /etc/pam. d/sshd یافت.

پرونده های زیر /etc/pam. d/ ماژول های PAM مورد استفاده برای تأیید اعتبار را تعریف می کنند. هر پرونده از خطوط تشکیل شده است که یک سرویس را تعریف می کند و هر خط از حداکثر چهار مؤلفه تشکیل شده است:

مؤلفه ها معنای زیر را دارند:

نوع سرویس را اعلام می کند. ماژول های PAM به عنوان پشته پردازش می شوند. انواع مختلف ماژول ها اهداف مختلفی دارند. به عنوان مثال ، یک ماژول رمز عبور را بررسی می کند ، دیگری مکانی را که از آن به سیستم قابل دسترسی است ، تأیید می کند ، و دیگری تنظیمات خاص کاربر را می خواند. پام در مورد چهار نوع ماژول مختلف می داند:

اصالت کاربر را به طور سنتی با پرس و جو یک رمز عبور بررسی کنید. با این حال ، این همچنین می تواند با کارت تراشه یا از طریق بیومتریک (به عنوان مثال ، اثر انگشت یا اسکن عنبیه) حاصل شود.

ماژول هایی از این نوع بررسی می کنند که آیا کاربر مجوز کلی برای استفاده از سرویس درخواست شده دارد یا خیر. به عنوان نمونه ، چنین چک باید انجام شود تا اطمینان حاصل شود که هیچ کس نمی تواند با نام کاربری یک حساب منقضی شده وارد سیستم شود.

هدف از این نوع ماژول امکان تغییر یک نشانه احراز هویت است. معمولاً این یک رمز عبور است.

ماژول ها از این نوع مسئول مدیریت و پیکربندی جلسات کاربر هستند. آنها قبل و بعد از تأیید اعتبار برای ورود به سیستم و پیکربندی محیط خاص کاربر (حساب های پستی ، فهرست خانه ، محدودیت سیستم و غیره) شروع شده اند.

رفتار یک ماژول PAM را نشان می دهد. هر ماژول می تواند پرچم های کنترل زیر را داشته باشد:

یک ماژول با این پرچم باید قبل از انجام احراز هویت با موفقیت پردازش شود. پس از خرابی یک ماژول با پرچم مورد نیاز ، تمام ماژول های دیگر با همان پرچم پردازش می شوند قبل از اینکه کاربر پیامی راجع به عدم موفقیت در تلاش برای تأیید اعتبار دریافت کند.

ماژول های دارای این پرچم نیز باید با موفقیت ، به همان روشی که یک ماژول با پرچم مورد نیاز انجام می شود ، با موفقیت پردازش شوند. با این حال ، در صورت عدم موفقیت ، یک ماژول با این پرچم بازخورد فوری به کاربر می دهد و هیچ ماژول دیگری پردازش نمی شود. در صورت موفقیت ، ماژول های دیگر مانند هر ماژول با پرچم مورد نیاز پردازش می شوند. پرچم لازم را می توان به عنوان یک فیلتر اساسی برای وجود شرایط خاص که برای تأیید صحت صحیح ضروری هستند استفاده کرد.

پس از پردازش موفقیت آمیز یک ماژول با این پرچم ، برنامه درخواست کننده پیام فوری در مورد موفقیت دریافت می کند و هیچ ماژول دیگری پردازش نمی شود ، به شرط آنکه هیچ خرابی قبلی یک ماژول با پرچم مورد نیاز وجود نداشته باشد. عدم موفقیت یک ماژول با پرچم کافی هیچ عواقب مستقیمی ندارد ، به این معنا که هر ماژول های بعدی به ترتیب مربوطه پردازش می شوند.

عدم موفقیت یا موفقیت یک ماژول با این پرچم هیچ عواقب مستقیمی ندارد. این می تواند برای ماژول هایی که فقط برای نمایش یک پیام (به عنوان مثال ، برای گفتن به کاربر که نامه وارد شده است) مفید باشد ، بدون انجام اقدامات بیشتر مفید باشد.

اگر این پرچم داده شود ، پرونده مشخص شده به عنوان آرگومان در این مکان درج شده است.

حاوی نام کامل پرونده یک ماژول PAM است. نیازی به مشخص نیست ، تا زمانی که ماژول در فهرست پیش فرض /LIB /Security قرار داشته باشد (برای همه سیستم عامل های 64 بیتی که توسط OpenSUSE® LEAP پشتیبانی می شود ، دایرکتوری است /lib64 /امنیت).

شامل یک لیست جدا از فضا از گزینه ها برای تأثیرگذاری بر رفتار یک ماژول PAM ، مانند اشکال زدایی (امکان اشکال زدایی) یا Nullok (امکان استفاده از رمزهای عبور خالی) را فراهم می کند.

علاوه بر این ، پرونده های پیکربندی جهانی برای ماژول های PAM تحت /غیره /امنیت وجود دارد که رفتار دقیق این ماژول ها را تعریف می کند (نمونه ها شامل PAM_ENV.coNF و TIME.coNF) است. هر برنامه ای که از یک ماژول PAM استفاده می کند در واقع مجموعه ای از توابع PAM را فراخوانی می کند ، که سپس اطلاعات را در پرونده های مختلف پیکربندی پردازش می کند و نتیجه را به برنامه درخواست کننده باز می گرداند.

برای ساده سازی ایجاد و نگهداری ماژول های PAM ، پرونده های پیکربندی پیش فرض مشترک برای انواع ماژول های AUTH ، حساب ، رمز عبور و جلسه معرفی شده اند. اینها از پیکربندی PAM هر برنامه بازیابی می شوند. به روزرسانی های ماژول های پیکربندی جهانی PAM در مشترک-* در تمام پرونده های پیکربندی PAM بدون نیاز به سرپرست برای به روزرسانی هر پرونده پیکربندی PAM پخش می شوند.

پرونده های پیکربندی جهانی PAM با استفاده از ابزار PAM-Config حفظ می شوند. این ابزار به طور خودکار ماژول های جدیدی را به پیکربندی اضافه می کند ، پیکربندی موارد موجود را تغییر می دهد یا ماژول ها (یا گزینه ها) را از پیکربندی ها حذف می کند. مداخله دستی در حفظ تنظیمات PAM به حداقل می رسد یا دیگر لازم نیست.

توجه: تاسیسات مختلط 64 بیتی و 32 بیتی

هنگام استفاده از یک سیستم عامل 64 بیتی ، می توان یک محیط زمان اجرا را برای برنامه های 32 بیتی نیز درج کرد. در این حالت ، اطمینان حاصل کنید که نسخه 32 بیتی ماژول های PAM را نیز نصب کرده اید.