PAM 구성 파일

SEAM과 함께 제공된 기본 PAM 구성 파일에는 Kerboros 암호화를 지원하는 새로운 응용 프로그램을 관리하는 항목들이 있습니다. 새 파일에는 인증 서비스, 계정 관리, 세션 관리, 암호 관리 모듈에 해당하는 각 항목이 들어 있습니다.

인증 모듈의 경우 rlogin과 login, dtlogin, krlogin, ktelnet, krsh에 새로운 항목이 있습니다. 이 항목들에 대한 예는 아래에 나와 있습니다. 이들 서비스는 모두 새로운 PAM 라이브러리인 /usr/lib/security/pam_krb5.so.1을 사용하여 Kerberos 인증을 제공합니다.

첫 세 항목은 사용자의 초기 암호를 사용하여 인증을 요청하는 try_first_pass 옵션을 사용합니다. 초기 암호를 사용하면 여러 메커니즘이 표시될 경우에도 사용자가 다른 암호를 입력하지 않아도 됩니다.

다음 세 항목은 acceptor 옵션을 사용하여 PAM 모듈이 초기 티켓 부여 티켓을 얻는 단계를 수행할 수 없도록 합니다. Kerboros 암호화를 지원하는 서버 응용 프로그램의 경우, 응용 프로그램에서 이미 교환이 이루어졌기 때문에 PAM을 사용하여 이 단계를 수행할 필요가 없습니다. 이 외에 지정되지 않은 인증을 요구하는 모든 항목의 기본 항목으로서 other 항목이 있습니다.

# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

계정 관리의 경우, dtlogin에 다음과 같이 Kerberos 라이브러리를 사용하는 새로운 항목과 기본 규칙을 제공하는 other 항목이 있습니다. 현재 other 항목에서 실행되는 작업은 없습니다.

dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

/etc/pam.conf 파일의 마지막 두 항목은 아래에서 설명합니다. 세션 관리 모듈의 other 항목은 사용자 증명서를 폐기합니다. 암호 관리 모듈에서 새로운 other 항목은 Kerberos 라이브러리를 선택합니다.

other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass