PAM 設置檔案
SEAM 所附的預設 PAM 設置檔案,其中包括處理新 Kerberos 化應用程式的項目。新的檔案包括辯證服務、帳號管理、作業階段管理、及密碼管理模組等的項目。
rlogin、login、dtlogin、krlogin、ktelnet、及 krsh 的新辯證模組項目。以下為這些項目的範例。所有的服務都使用新的 PAM 程式庫,/usr/lib/security/pam_krb5.so.1,來提供 Kerberos 的辯證。
前三個項目採用 try_first_pass 選項,要求以使用者最初的密碼來辯證。使用最初的密碼表示即使列出多個機制,使用者也不會被提示輸入另一個密碼。
後三個項目則使用 acceptor 選項來防止 PAM 模組執行取得能賦予許可證的初始許可證的步驟。就 Kerberos 化 伺服器應用程式而言,應用程式已經執行此交換,因此不需要使用 PAM 來進行此步驟。此外,另外包含的一個 other 項目是作為所有需要辯證但尚未指定的項目之預設項目。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
在帳號管理方面,dtlogin 有一個使用 Kerberos 程式庫的新項目,如下所示。此外還包括一個 other 項目以作為預設的規則。目前 other 項目並未採取任何行動。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
/etc/pam.conf 檔案中的最後兩個項目如下所示。作業階段管理的 other 項目會損毀使用者的證書。而密碼管理的新 other 項目則會選擇 Kerberos 程式庫。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates