Scroll to navigation

PAM(7) Linux-PAM-Handbuch PAM(7)

BEZEICHNUNG

PAM, pam - Zusammensteckbare Authentifizierungsmodule für Linux

BESCHREIBUNG

Dieses Handbuch ist dazu gedacht, eine schnelle Einführung in Linux-PAM bereitzustellen. Für weitere Informationen wird der Leser auf das Linux-PAM system administrators' guide (Linux-Pam-Anleitung für Systemadministratoren) hingewiesen.

Linux-PAM ist ein System von Bibliotheken, die die Authentifizierungsaufgaben von Anwendungen (Diensten) des Systems handhaben. Die Bibliothek stellt eine stabile allgemeine Schnittstelle (Anwendungsprogrammierschnittstelle - API) bereit, an die Privilegien-vergebende Programme (wie login(1) und su(1)) verweisen, um normale Authentifizierungsaufgaben durchzuführen.

Die Hauptfunktionalität des PAM-Ansatzes besteht darin, dass die Art der Authentifizierung dynamisch konfigurierbar ist. Mit anderen Worten, der Systemadministraor kann frei entscheiden, wie einzelne Dienste-bereitstellende Anwendungen die Benutzer authentifizieren. Diese dynamische Konfiguration wird durch die Inhalte einer einzelnen Konfigurationsdatei /etc/pam.conf bereitgestellt. Alternativ kann die Konfiguration durch einzelne, im Verzeichnis /etc/pam.d/ befindliche Dateien, erfolgen. Die Existenz dieses Verzeichnisses führt dazu, dass Linux-PAM /etc/pam.conf ignoriert.

Lieferanten-bereitgestellte PAM-Konfigurationsdateien können im Systemverzeichnis /usr/lib/pam.d/ oder einem konfigurierbaren Lieferanten-spezifischen Verzeichnis anstelle des Maschinenkonfigurationsverzeichnisses /etc/pam.d/ installiert sein. Falls keine Maschinenkonfigurationsdatei gefunden wird, wird die vom Lieferanten bereitgestellte Datei verwandt. Alle Dateien in /etc/pam.d/ setzen Dateien mit dem gleichen Namen in anderen Verzeichnissen außer Kraft.

Aus Sicht des Systemadministrators, für den dieses Handbuch bereitgestellt wird, steht das interne Verhalten der Bibliothek Linux-PAM nicht im Fokus. Am wichtigsten ist es zu erkennen, dass die Konfigurationsdatei(en) die Verbindung zwischen Anwendungen (Diensten) und den zusammensteckbaren Authentifizierungsmodulen (PAMs), die die eigentlichen Authentifizierungsaufgaben erledigen, definieren.

Linux-PAM trennt die Aufgaben der Authentifizierung in vier unabhängige Verwaltungsgruppen: Kontenverwaltung (account), Authentifizierungsverwaltung (auth, Passwortverwaltung (password) und Sitzungsverwaltung (session). Die in der Konfigurationsdatei verwandten Abkürzungen sind in Klammern hervorgehoben.

In einfachen Worten – Diese Gruppen kümmern sich um verschiedene Aspekte einer typischen Benutzeranfrage für einen beschränkten Dienst:

account - Bereitstellung von Diensten der Art der Kontenprüfung: Ist das Passwort des Benutzers abgelaufen? Darf der Benutzer auf den angefragten Dienst zugreifen?

auth - Authentifizierung eines Benutzers und Einrichtung seiner Benutzerzugangsberechtigungen. Typischerweise erfolgt dies über eine Art von Challenge-Response-Anfrage (Aufforderung-Antwort-Anfrage), die der Benutzer erfüllen muss: Ob Sie derjenige sind, der Sie zu sein behaupten, dann geben Sie bitte Ihr Passwort ein. Nicht alle Authentifizierungstypen sind von dieser Art, es existieren Hardware-basierte Authentifizierungsschemata (unter der Verwendung von Smartcards und biometrischen Geräten). Mit geeigneten Modulen können diese nahtlos als Ersatz für stärker standardisierte Ansätze der Authentifizierung ersetzt werden - dies ist die Flexibilität von Linux-PAM.

password - Diese Gruppe verantwortet die Aktualisierung der Authentifizierungsmechanismen. Typischerweise hängen diese Dienste eng mit denen der Gruppe auth zusammen. Einige Authentifizierungsmechanismen können natürlicherweise gut mit einer solchen Funktion aktualisiert werden. Der normale passwortbasierte Zugriff in UN*X ist das offensichtliche Beispiel: Bitte geben Sie ein neues Passwort ein.

session - Diese Gruppe übernimmt die Aufgabe, Dinge zu erledigen, die vor der Freigabe eines Dienstes und nachdem dieser zurückgezogen wurde, erledigt werden sollten. Zu diesen Aufgaben gehören die Auditnachweise und das Einhängen des Home-Verzeichnisses des Benutzers. Die Verwaltungsgruppe session ist wichtig, da sie sowohl einen eröffnenden als auch einen schließenden Einsprungpunkt für Module bereitstellt, die den Dienst für den Benutzer beeinflussen.

DATEIEN

/etc/pam.conf

die Konfigurationsdatei

/etc/pam.d

das Konfigurationsverzeichnis von Linux-PAM Grundsätzlich gilt, dass die Datei /etc/pam.conf ignoriert wird, wenn dieses Verzeichnis vorhanden ist.

/usr/lib/pam.d

das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d setzen die Dateien mit dem gleichen Namen in diesem Verzeichnis außer Kraft.

<Lieferantenverz>/pam.d

das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d und /usr/lib/pam.d setzen die Dateien mit dem gleichen Namen in diesem Verzeichnis außer Kraft. Nur verfügbar, falls Linux-PAM mit aktiviertem »vendordir« kompiliert wurde.

FEHLER

Normalerweise werden vom Linux-PAM-Bibliothekssystem erstellte Fehler in syslog(3) geschrieben.

KONFORM ZU

DCE-RFC 86.0, Oktober 1995. Enthält zusätzliche Funktionalitäten, bleibt aber rückwärtskompatibel zu diesem RFC.

SIEHE AUCH

pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(7)

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

03.09.2021 Linux-PAM-Handbuch