PAM 配置文件
与 SEAM 一同交付的默认的 PAM 配置文件包括用于处理新的 Kerberized 应用程序的条目。新的文件包括用于鉴别服务、帐户管理、对话管理以及口令管理模块的条目。
对于鉴别模块,新的条目是针对 rlogin、 login、 dtlogin、krlogin、 ktelnet 和 krsh 的。下文显示有此类条目的一个示例。所有这些服务均使用新的 PAM 库,/usr/lib/security/pam_krb5.so.1,来提供 Kerberos 鉴别。
前面三个条目使用 try_first_pass 选项,这请求使用用户的初始口令进行鉴别。使用初始口令是指不提示用户键入另一口令,即使列示了多重机制。
后面三个条目使用 acceptor 选项来避免该 PAM 模块进行获得初始的具有票券授予权的票券的步骤。对于 Kerberized 服务器应用程序,交换业已由应用程序进行,因而不必通过 PAM 进行该步骤。另外还包含有一个 other条目,用作所有未加指定而需要鉴别的条目的默认条目。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
对于帐户管理,dtlogin 拥有一个使用 Kerberos 库的新的条目,如下文所示。包含有一个 other 条目,用以提供一个默认的规则。目前,other 条目并不采取任何动作。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
/etc/pam.conf 文件中的最后两个条目在如下有示。用于对话管理的 other 条目销毁用户资格。用于口令管理的新的 other 条目选择 Kerberos 库。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates