/usr/lib/security/pam_tsol_account.so.1
PAM 的 Solaris Trusted Extensions 服务模块 /usr/lib/security/pam_tsol_account.so.1 检查与标签相关的帐户限制。pam_tsol_account.so.1 模块是一个共享目标文件,可以动态装入以按需提供必要的功能。其路径在 PAM 配置文件中指定。
pam_tsol_account.so.1 中包含执行帐户管理的函数 pam_sm_acct_mgmt()。该函数检查用户的允许标签范围。允许的标签范围通过 label_encodings(4) 文件中的缺省值设置。这些缺省值可以被 user_attr(4) 数据库中的条目覆盖。
缺省情况下,此模块要求连接到全局区域的远程主机必须为 CIPSO 主机类型。要禁用此策略,请将 allow_unlabeled 关键字作为一个选项添加到 pam.conf(4) 中的相应条目中,例如:
other account required pam_tsol_account allow_unlabeled
/etc/pam.d/ 中的等效 PAM 配置将是 /etc/pam.d/other 中的以下条目:
account required pam_tsol_account allow_unlabeled
可将以下选项传送到该模块:
允许从无标签模板类型的主机进行远程连接。
提供 LOG_DEBUG 级别的调试信息。请参见 syslog(3C)。
将返回以下值:
该帐户此时可在此标签下使用。
当前进程标签在用户的标签范围之外、进程的标签信息不可用或者远程主机类型无效。
返回与典型 PAM 操作一致的错误代码。有关与错误相关的返回值的信息,请参见 pam(3PAM) 手册页。
有关下列属性的说明,请参见 attributes(5):
|
libpam(3LIB) 中的接口仅在多线程应用程序中的每个线程都使用自己的 PAM 句柄时才是多线程安全的。
keylogin(1)、libpam(3LIB)、pam(3PAM)、pam_sm_acct_mgmt(3PAM)、pam_start(3PAM)、syslog(3C)、label_encodings(4)、pam.conf(4)、user_attr(4)、attributes(5)
在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 中的第 1 章 使用可插拔验证模块
仅当系统配置有 Trusted Extensions 时,本手册页中介绍的功能才可用。