Dans cette procédure, vous devez configurer une stratégie PAM autre que celui par défaut sur toutes les images du système. Une fois que tous les fichiers sont copiés, vous pouvez appliquer la nouvelle stratégie PAM ou la stratégie modifiée à des utilisateurs individuels ou à tous les utilisateurs.
Avant de commencer
Vous avez modifié les fichiers de configuration et testez la qui répondent aux conditions spécifiques au PAM nouvelle stratégie.
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Vous devez ajouter tous les nouveaux modules PAM et des fichiers de configuration nouveaux et modifiés à toutes les images du système.
Pour obtenir un exemple de configuration d'annuaire, reportez-vous à Step 1 dans la section Ajout d'un module PAM.
Par exemple, ajoutez le fichier /opt/local_pam/ssh-telnet-conf à chaque image de système.
Par exemple, copiez un fichier /etc/pam.conf modifié et n'importe quel /etc/pam.d/service-name-files modifié sur chaque image de système.
# pfedit /etc/security/policy.conf ... # PAM_POLICY= PAM_POLICY=/opt/local_pam/ssh-telnet-conf ...
Par exemple, affectez la stratégie PAM par utilisateur de tout profil de droits à partir de Example 1–3.
# pfedit /etc/security/policy.conf ... AUTHS_GRANTED= # PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User ...
# usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill
Cet exemple utilise la stratégie PAM ldap.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
Affectez alors le profil de droits à un utilisateur.
# usermod -P +"PAM Per-User Policy of LDAP" jill
L'administrateur souhaite autoriser un nombre limité d'utilisateurs la possibilité d'utiliser dans un domaine Kerberos telnet. Par conséquent, avant que le service telnet soit activé, l'administrateur modifie le fichier de configuration ktelnet par défaut, et place le fichier ktelnet par défaut dans le répertoire pam_policy.
Tout d'abord, l'administrateur configure un fichier par utilisateur ktelnet.
# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf # pfedit /etc/security/pam_policy/ktelnet-conf ... # Kerberized telnet service # ktelnet auth required pam_unix_cred.so.1 ktelnet auth required pam_krb5.so.1
L'administrateur protège le fichier avec les autorisations 444.
# chmod 444 /etc/security/pam_policy/ktelnet-conf # ls -l /etc/security/pam_policy/ktelnet-conf -r--r--r-- 1 root root 228 Nov 27 15:04 ktelnet-conf
Puis, l'administrateur modifie le fichier ktelnet dans le répertoire pam.d.
Pour effectuer un ajustement en fonction de la première entrée permet active l'affectation de l'utilisateur.
La seconde entrée rejette l'utilisation de ktelnet sauf si pam_policy=ktelnet vous est affecté par l'administrateur.
# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig # pfedit /etc/pam.d/ktelnet ... # Denied Kerberized telnet service # auth definitive pam_user_policy.so.1 auth required pam_deny.so.1
L'administrateur teste la configuration avec un utilisateur privilégié, un utilisateur standard, et le rôle root. Une fois la configuration réussie, l'administrateur active le servicetelnet et affecte la stratégie par utilisateur aux administrateurs Kerberos.
# svcadm enable telnet # rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin
L'administrateur copie les fichiers modifiés sur tous les serveurs Kerberos et active telnet sur ces serveurs.