Archivo de configuración de PAM

El archivo de configuración de PAM predeterminado que se proporciona con SEAM incluye entradas para manejar las nuevas aplicaciones adaptadas a Kerberos. El archivo nuevo contiene entradas para los módulos del servicio de autenticación, la gestión de cuentas, de sesiones y de contraseñas.

Para el módulo de autenticación, las nuevas entradas son para rlogin, login, dtlogin, krlogin, ktelnet y krsh. A continuación se muestra un ejemplo de estas entradas. Todos estos servicios utilizan la nueva biblioteca PAM, /usr/lib/security/pam_krb5.so.1, para proporcionar la autenticación Kerberos.

Las tres primeras entradas utilizan la opción try_first_pass, que solicitan la autenticación mediante la contraseña inicial del usuario. Utilizar la contraseña inicial significa que no se solicitará otra contraseña al usuario incluso si hay enumerados varios mecanismos.

Las tres entradas siguientes utilizan la opción acceptor para evitar que el módulo PAM realice el paso para obtener el cupón de obtención de cupones inicial. Para las aplicaciones de servidor adaptadas a Kerberos la aplicación ya realiza el intercambio, de forma que no es necesario hacer el paso mediante PAM. Además, se incluye una entrada other como la predeterminada para todas las entradas no especificadas que requieran autenticación.

# cat /etc/pam.conf
 . 
. 
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor 
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor 
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor 
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

Para la gestión de cuentas, dtlogin tiene una entrada nueva que utiliza la biblioteca de Kerberos, como se muestra a continuación. Se incluye una entrada other para proporcionar una regla predeterminada. Actualmente, la entrada other no realiza ninguna acción.

dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

A continuación se muestran las dos últimas entradas del archivo /etc/pam.conf. La entrada other para la gestión de sesiones destruye las credenciales de usuario. La nueva entrada other para la gestión de contraseñas selecciona la biblioteca de Kerberos.

other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass