Fichier de configuration du module d'authentification enfichable
Le fichier de configuration par défaut du module d'authentification enfichable fourni avec SEAM inclut des entrées de traitement des nouvelles applications Kerberos. Le nouveau fichier comporte des entrées pour le service d'authentification, la gestion des comptes, la gestion des sessions et les modules de gestion des mots de passe.
Pour le module d'authentification, les nouvelles entrées concernent rlogin, login, dtlogin, krlogin, ktelnet et krsh. Un exemple de ces entrées est présenté ci-dessous. Tous ces services ont recours à la nouvelle bibliothèque de modules d'authentification enfichables, /usr/lib/security/pam_krb5.so.1, pour l'authentification Kerberos.
Les trois premières entrées utilisent l'option try_first_pass, qui demande l'authentification au moyen du mot de passe initial de l'utilisateur. L'utilisation du mot de passe initial signifie que l'utilisateur n'est pas invité à entrer un autre mot de passe, même si de multiples mécanismes sont indiqués.
Les trois entrées suivantes utilisent l'option acceptor pour empêcher le module d'authentification enfichable d'effectuer l'étape d'obtention du ticket d'octroi de tickets initial. Pour les applications de serveur Kerberos, l'échange est déjà effectué par l'application ; il n'est donc pas nécessaire d'effectuer l'étape au moyen du module d'authentification enfichable. En outre, une entrée other est incluse comme entrée par défaut pour toutes les entrées exigeant une authentification qui ne sont pas spécifiées.
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
Pour la gestion des comptes, dtlogin possède une nouvelle entrée utilisant la bibliothèque Kerberos, comme indiqué ci-dessous. Une entrée other est incluse pour fournir une valeur par défaut. Actuellement, aucune action n'est effectuée par l'entrée other .
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
Les deux dernières entrées du fichier /etc/pam.conf sont présentées ci-dessous. L'entrée other de gestion de session détruit les justificatifs d'identité d'utilisateur. La nouvelle entrée other de gestion des mots de passe sélectionne la bibliothèque Kerberos.
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates