En este procedimiento, debe configurar una política del PAM no predeterminada en todas las imágenes del sistema. Después de que se copian todos los archivos, puede asignar la política del PAM nueva o modificada a usuarios individuales o a todos los usuarios.
Antes de empezar
Ha modificado y ha probado los archivos de configuración del PAM que implementan la nueva política.
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Debe agregar todos los nuevos módulos del PAM y los archivos de configuración del PAM nuevos y modificados a todas las imágenes del sistema.
Para obtener un ejemplo de configuración de directorio, consulte Step 1 in Cómo agregar un módulo PAM.
Por ejemplo, agregue el archivo /opt/local_pam/ssh-telnet-conf a cada imagen del sistema.
Por ejemplo, copie un archivo /etc/pam.conf modificado y cualquier /etc/pam.d/service-name-files a cada imagen del sistema.
# pfedit /etc/security/policy.conf ... # PAM_POLICY= PAM_POLICY=/opt/local_pam/ssh-telnet-conf ...
Por ejemplo, asigne la política del PAM por usuario de cualquier perfil de derechos desde Example 1–3.
# pfedit /etc/security/policy.conf ... AUTHS_GRANTED= # PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User ...
# usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill
En este ejemplo, se utiliza la política del PAM ldap.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
Luego, asigne el perfil de derechos a un usuario.
# usermod -P +"PAM Per-User Policy of LDAP" jill
El administrador desea permitir a un número limitado de los usuarios la capacidad de utilizar telnet en un dominio Kerberos. Por lo tanto, antes de activar el servicio telnet, el administrador cambia el archivo de configuración ktelnet predeterminado y coloca el archivo ktelnet predeterminado en el directorio pam_policy.
En primer lugar, el administrador configura un archivo ktelnet por usuario.
# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf # pfedit /etc/security/pam_policy/ktelnet-conf ... # Kerberized telnet service # ktelnet auth required pam_unix_cred.so.1 ktelnet auth required pam_krb5.so.1
El comando protege el archivo con permisos de 444.
# chmod 444 /etc/security/pam_policy/ktelnet-conf # ls -l /etc/security/pam_policy/ktelnet-conf -r--r--r-- 1 root root 228 Nov 27 15:04 ktelnet-conf
Luego, el administrador modifica el archivo ktelnet en el directorio pam.d.
La primera entrada permite la asignación por usuario.
La segunda entrada deniega el uso de ktelnet a menos que el administrador le asigne pam_policy=ktelnet.
# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig # pfedit /etc/pam.d/ktelnet ... # Denied Kerberized telnet service # auth definitive pam_user_policy.so.1 auth required pam_deny.so.1
El administrador prueba la configuración con un usuario con privilegios, un usuario común y el rol root. Cuando la configuración pasa, el administrador activa el servicio telnet y asigna la política por usuario a los administradores de Kerberos.
# svcadm enable telnet # rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin
El administrador copia los archivos modificados en todos los servidores Kerberos y activa telnet en esos servidores.