PAM(8) Linux-PAM-Handbuch PAM(8) BEZEICHNUNG PAM, pam - Zusammensteckbare Authentifizierungsmodule fur Linux BESCHREIBUNG Dieses Handbuch ist dazu gedacht, eine schnelle Einfuhrung in Linux-PAM bereitzustellen. Fur weitere Informationen wird der Leser auf das Linux-PAM system administrators' guide (Linux-Pam-Anleitung fur Systemadministratoren) hingewiesen. Linux-PAM ist ein System von Bibliotheken, die die Authentifizierungsaufgaben von Anwendungen (Diensten) des Systems handhaben. Die Bibliothek stellt eine stabile allgemeine Schnittstelle (Anwendungsprogrammierschnittstelle - API) bereit, an die Privilegien-vergebende Programme (wie login(1) und su(1)) verweisen, um normale Authentifizierungsaufgaben durchzufuhren. Die Hauptfunktionalitat des PAM-Ansatzes besteht darin, dass die Art der Authentifizierung dynamisch konfigurierbar ist. Mit anderen Worten, der Systemadministraor kann frei entscheiden, wie einzelne Dienste-bereitstellende Anwendungen die Benutzer authentifizieren. Diese dynamische Konfiguration wird durch die Inhalte einer einzelnen Konfigurationsdatei /etc/pam.conf bereitgestellt. Alternativ und bevorzugt kann die Konfiguration durch einzelne, in einem Verzeichnis /etc/pam.d/ befindliche Dateien, erfolgen. Die Existenz dieses Verzeichnisses fuhrt dazu, dass Linux-PAM /etc/pam.conf ignoriert. Lieferanten-bereitgestellte PAM-Konfigurationsdateien konnen im Systemverzeichnis /usr/lib/pam.d/ oder einem konfigurierbaren Lieferanten-spezifischen Verzeichnis anstelle des Maschinenkonfigurationsverzeichnisses /etc/pam.d/ installiert sein. Falls keine Maschinenkonfigurationsdatei gefunden wird, wird die vom Lieferanten bereitgestellte Datei verwandt. Alle Dateien in /etc/pam.d/ setzen Dateien mit dem gleichen Namen in anderen Verzeichnissen ausser Kraft. Aus Sicht des Systemadministrators, fur den dieses Handbuch bereitgestellt wird, steht das interne Verhalten der Bibliothek Linux-PAM nicht im Fokus. Am wichtigsten ist es zu erkennen, dass die Konfigurationsdatei(en) die Verbindung zwischen Anwendungen (Diensten) und den zusammensteckbaren Authentifizierungsmodulen (PAMs), die die eigentlichen Authentifizierungsaufgaben erledigen, definieren. Linux-PAM trennt die Aufgaben der Authentifizierung in vier unabhangige Verwaltungsgruppen: Kontenverwaltung (account), Authentifizierungsverwaltung (auth, Passwortverwaltung (password) und Sitzungsverwaltung (session). Die in der Konfigurationsdatei verwandten Abkurzungen sind in Klammern hervorgehoben. In einfachen Worten - Diese Gruppen kummern sich um verschiedene Aspekte einer typischen Benutzeranfrage fur einen beschrankten Dienst: account - Bereitstellung von Diensten der Art der Kontenprufung: Ist das Passwort des Benutzers abgelaufen? Darf der Benutzer auf den angefragten Dienst zugreifen? auth - Authentifizierung eines Benutzers und Einrichtung seiner Benutzerzugangsberechtigungen. Typischerweise erfolgt dies uber eine Art von Challenge-Response-Anfrage (Aufforderung-Antwort-Anfrage), die der Benutzer erfullen muss: Ob Sie derjenige sind, der Sie zu sein behaupten, dann geben Sie bitte Ihr Passwort ein. Nicht alle Authentifizierungstypen sind von dieser Art, es existieren Hardware-basierte Authentifizierungsschemata (unter der Verwendung von Smartcards und biometrischen Geraten). Mit geeigneten Modulen konnen diese nahtlos als Ersatz fur starker standardisierte Ansatze der Authentifizierung ersetzt werden - dies ist die Flexibilitat von Linux-PAM. password - Diese Gruppe verantwortet die Aktualisierung der Authentifizierungsmechanismen. Typischerweise hangen diese Dienste eng mit denen der Gruppe auth zusammen. Einige Authentifizierungsmechanismen konnen naturlicherweise gut mit einer solchen Funktion aktualisiert werden. Der normale passwortbasierte Zugriff in UN*X ist das offensichtliche Beispiel: Bitte geben Sie ein neues Passwort ein. session - Diese Gruppe ubernimmt die Aufgabe, Dinge zu erledigen, die vor der Freigabe eines Dienstes und nachdem dieser zuruckgezogen wurde, erledigt werden sollten. Zu diesen Aufgaben gehoren die Auditnachweise und das Einhangen des Home-Verzeichnisses des Benutzers. Die Verwaltungsgruppe session ist wichtig, da sie sowohl einen eroffnenden als auch einen schliessenden Einsprungpunkt fur Module bereitstellt, die den Dienst fur den Benutzer beeinflussen. DATEIEN /etc/pam.conf die Konfigurationsdatei /etc/pam.d das Konfigurationsverzeichnis von Linux-PAM Grundsatzlich gilt, dass die Datei /etc/pam.conf ignoriert wird, wenn dieses Verzeichnis vorhanden ist. /usr/lib/pam.d das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d setzen die Dateien mit dem gleichen Namen in diesem Verzeichnis ausser Kraft. FEHLER Normalerweise werden vom Linux-PAM-Bibliothekssystem erstellte Fehler in syslog(3) geschrieben. KONFORM ZU DCE-RFC 86.0, Oktober 1995. Enthalt zusatzliche Funktionalitaten, bleibt aber ruckwartskompatibel zu diesem RFC. SIEHE AUCH pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(8) UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . Linux-PAM 18. November 2024 PAM(8)