PAM 構成ファイル

SEAM に付属するデフォルトの PAM 構成ファイルには、新しい Kerberos 化されたアプリケーションを処理するためのエントリが含まれています。新しいファイルには、認証サービス、アカウント管理、セッション管理、およびパスワード管理のモジュール用のエントリが含まれています。

認証モジュールの場合は、rlogin、login、dtlogin、krlogin、ktelnet、および krsh 用の新しいエントリです。次に、これらのエントリの例を示します。これらのサービスはすべて新しい PAM ライブラリ /usr/lib/security/pam_krb5.so.1 を使用して、Kerberos 認証を提供します。

最初の 3 つのエントリは try_first_pass オプションを使用して、ユーザーの初期パスワードによる認証を要求します。初期パスワードを使用することは、複数の機構がリストに指定されている場合でも、ユーザーは別のパスワードを入力する必要がないということです。

次の 3 つのエントリは -acceptor オプションを使用して、PAM モジュールが初期チケット許可チケットを取得する手順を実行しないようにします。Kerberos 化されたサーバーアプリケーションの場合、この手順はすでにアプリケーションによって実行されているため、この手順を PAM で行う必要はありません。また、other エントリはデフォルトのエントリで、特に指定されていないが認証が必要であるすべてのエントリ用です。

# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

アカウント管理の場合、dtlogin は Kerberos ライブラリを使用する新しいエントリを持っています (次を参照)。other エントリはデフォルトの規則を提供します。現在のところ、other エントリは何もしません。

dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

次に、/etc/pam.conf ファイルの最後の 2 つのエントリを示します。セッション管理用の other エントリはユーザー資格を削除します。パスワード管理用の新しい other エントリは Kerberos ライブラリを選択します。

other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass