Konfigurationsfil för PAM

Standardkonfigurationsfilen för PAM som följer med SEAM innehåller poster för hantering av de nya Kerberos-anpassade programmen. Den nya filen innehåller poster för modulerna för verifieringstjänsten, kontohantering, sessionshantering och lösenordshantering.

För verifieringsmodulen finns det nya poster för rlogin, login, dtlogin, krlogin, ktelnet och krsh. Ett exempel på de nya posterna visas nedan. Alla dessa tjänster använder det nya PAM-biblioteket, /usr/lib/security/pam_krb5.so.1, för Kerberos-verifiering.

För de första tre posterna används alternativet try_first_pass, vilket begär verifiering med användarens första lösenord. Det innebär att användaren inte tillfrågas om andra lösenord även om flera mekanismer finns i listan.

För följande tre poster används alternativet acceptor , vilket förhindrar PAM-modulen från att utföra steget för att hämta den första biljettbeviljarbiljetten (TGT). När Kerberos-anpassade program används utförs utbytet av programmet och därför behöver inte steget utföras med PAM. Dessutom finns posten other med som standardpost för alla poster som kräver verifiering som inte har angetts.

# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

För kontohanteringen har dtlogin en ny post som använder Kerberos-biblioteket, vilket visas nedan. En other-post finns med för en standardregel. För tillfället vidtas inga åtgärder av posten other.

dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

De två sista posterna i filen /etc/pam.conf visas nedan. Posten other för sessionshantering förstör användarreferenser. Den nya posten other för lösenordshantering väljer Kerberos-biblioteket.

other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass