Manuel de Linux-PAM

NOM¶

PAM, pam — « Pluggable Authentication Modules » (modules d’authentification enfichables) pour Linux

DESCRIPTION¶

Ce manuel présente une introduction rapide à Linux-PAM. Pour plus d’informations, le lecteur est invité à lire le « Linux-PAM system administrators' guide ».

Linux-PAM est un système de bibliothèques qui gèrent les tâches d’authentification des applications (services) sur le système. Les bibliothèques fournissent une interface générale stable (Application Programming Interface — API) à laquelle les programmes qui accordent des privilèges (tels que login(1) et su(1)) confient la réalisation des tâches standard d’authentification.

La principale caractéristique de la philosophie de PAM réside dans le fait que le type d’authentification est configurable de manière dynamique. En d’autres termes, l’administrateur système est libre de choisir comment les applications qui fournissent des services vont authentifier les utilisateurs. Cette configuration dynamique est définie dans /etc/pam.conf, l’unique fichier de configuration de Linux-PAM. Il est cependant préférable de la définir dans des fichiers de configuration individuels situés dans un répertoire pam.d/. Si ce répertoire est présent, Linux-PAM ignorera /etc/pam.conf.

Les fichiers de configuration proposés par le fournisseur peuvent être installés dans le répertoire système /usr/lib/pam.d/ ou dans un répertoire configurable spécifique au fournisseur au lieu de l’être dans le répertoire de configuration de la machine /etc/pam.d/. Si aucun fichier de configuration n’est trouvé dans le répertoire de configuration de la machine (ou si ce dernier n’existe pas), c’est le fichier proposé par le fournisseur qui sera utilisé. Tous les fichiers situés dans /etc/pam.d/ l’emportent sur les fichiers de même nom situés dans d’autres répertoires.

Pour l’administrateur système (auquel ce manuel est destiné), il n’est pas d’une importance majeure de comprendre le fonctionnement interne de la bibliothèque Linux-PAM. Le point important à comprendre est que les fichiers de configuration définissent la connexion entre les applications (services) et les modules d’authentification enfichables (PAM) qui accomplissent les tâches d’authentification proprement dites.

Linux-PAM répartit les tâches d’authentification en quatre groupes de gestion indépendants : account pour la gestion des comptes, auth pour la gestion de l’authentification, password pour la gestion des mots de passe et session pour la gestion des sessions (ces noms en gras sont des abréviations de nom de groupe utilisées dans le fichier de configuration).

Pour faire court, ces groupes prennent en charge les différents aspects d’une requête typique d’un utilisateur pour un service à accès restreint.

Le groupe account fournit des services permettant de vérifier les comptes : est-ce que le mot de passe de l’utilisateur a expiré ? Est-ce que l’utilisateur a le droit d’accéder au service demandé ?

Le groupe auth permet d’authentifier un utilisateur et de définir ses informations d'identification. En général, cette opération s’effectue par le biais de requêtes question-réponse auxquelles l’utilisateur doit se soumettre de manière satisfaisante : si vous êtes celui ou celle que vous prétendez être, saisissez votre mot de passe. Toutes les authentifications ne sont pas de ce type ; il existe des méthodes d’authentification qui s’appuient sur le matériel (comme l’utilisation de cartes à puce ou de périphériques biométriques) ; avec les modules adéquats, ces dernières peuvent se substituer de manière transparente aux méthodes d’authentification plus traditionnelles — telle est la flexibilité de Linux-PAM.

Le groupe password est responsable de la tâche de mise à jour des mécanismes d’authentification. En général, ces services sont fortement liés à ceux du groupe auth. Certains mécanismes d’authentification se prêtent bien à cette méthode de mise à jour. L’accès par mot de passe standard d’Unix en est un exemple trivial : veuillez saisir un mot de passe de remplacement.

Le groupe session est responsable des tâches qui doivent être effectuées avant un service fourni et après son retrait. Ces opérations incluent par exemple l’entretien de journaux d’opérations et le montage du répertoire personnel de l’utilisateur. Ce groupe est important, car il fournit une procédure d’ouverture et de fermeture pour que les modules affectent les services disponibles pour un utilisateur.

FICHIERS¶

/etc/pam.conf

le fichier de configuration.

/etc/pam.d

le répertoire de configuration de Linux-PAM. En général, si ce répertoire est présent, le fichier /etc/pam.conf est ignoré.

/usr/lib/pam.d

le répertoire de configuration du fournisseur de Linux-PAM. Les fichiers situés dans /etc/pam.d l’emportent sur les fichiers de même nom situés dans ce répertoire.

ERREURS¶

Les erreurs typiques générées par le système de bibliothèques de Linux-PAM sont enregistrées par syslog(3).

CONFORMITÉ¶

DCE-RFC 86.0, octobre 1995. Linux-PAM contient des fonctionnalités additionnelles mais demeure rétrocompatible avec cette RFC.

VOIR AUSSI¶

pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3)

TRADUCTION¶

La traduction française de cette page de manuel a été créée par Lucien Gentis <lucien.gentis@univ-lorraine.fr>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.

29 juin 2025

Linux-PAM

Source file:	PAM.7.fr.gz (from manpages-fr 4.28.0-2)
Source last updated:	2025-09-26T15:11:42Z
Converted to HTML:	2025-10-02T03:12:19Z