File di configurazione PAM

Il file di configurazione PAM predefinito di SEAM include una serie di istruzioni per la gestione delle nuove applicazioni basate su Kerberos. Il nuovo file include istruzioni per il servizio di autenticazione, la gestione degli account, la gestione delle sessioni e la gestione delle password.

In relazione al modulo di autenticazione, le nuove istruzioni riguardano rlogin, login, dtlogin, krlogin, ktelnet e krsh. Qui sotto è mostrato un esempio di queste istruzioni. Tutti questi servizi utilizzano la nuova libreria PAM, /usr/lib/security/pam_krb5.so.1, per l'autenticazione Kerberos.

Le prime tre righe utilizzano l'opzione try_first_pass, che richiede l'autenticazione mediante la password iniziale dell'utente. L'uso della password iniziale comporta che all'utente non venga richiesta un'altra password, anche se sono elencati più meccanismi.

Le tre righe successive utilizzano l'opzione acceptor per evitare che il modulo PAM esegua la procedura per ottenere il TGT iniziale. Le applicazioni server basate su Kerberos eseguono lo scambio direttamente, perciò non è necessario che la procedura venga svolta con il modulo PAM. Inoltre, è inclusa un'istruzione con una voce other predefinita da utilizzare per tutte le operazioni non specificate che richiedono un'autenticazione.

# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

In relazione alla gestione degli account, dtlogin ha una nuova riga che utilizza la libreria Kerberos, come mostrato qui sotto. È anche inclusa una voce other per l'uso di una regola predefinita. Attualmente non vi è nessuna azione che viene eseguita con la voce other.

dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

Qui sotto sono mostrate le ultime due righe del file /etc/pam.conf. La voce other per la gestione delle sessioni distrugge le credenziali dell'utente. La nuova voce other per la gestione delle password seleziona la libreria Kerberos.

other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass