Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - PAM et mise en cache de certificats administratifs

16.6. PAM et mise en cache de certificats administratifs

Sous Red Hat Enterprise Linux, une panoplie d'outils administratifs graphiques offre aux utilisateurs des privil�ges sup�rieurs pour une dur�e allant jusqu'� cinq minutes via le module pam_timestamp.so. Il est important de comprendre comment ce m�canisme fonctionne. En effet, si un utilisateur quitte un terminal pendant que pam_timestamp.so est actif, quiconque ayant un acc�s physique � la machine peut effectuer des manipulations de toute sorte.

Sous le syst�me d'estampille de PAM, l'application administrative graphique demande � l'utilisateur de saisir le mot de passe root au d�marrage. Une fois authentifi�, le module pam_timestamp.so cr�e un fichier d'estampille dans le r�pertoire /var/run/sudo/, par d�faut. Si le fichier d'estampille existe d�j�, d'autres programmes administratifs graphiques ne demanderont pas la saisie d'un mot de passe. Au contraire, le module pam_timestamp.so rafra�chira le fichier d'estampille — r�servant cinq minutes suppl�mentaires d'acc�s administratif inconditionnel � l'utilisateur.

L'existence du fichier d'estampille est d�not�e par l'ic�ne d'authentification dans la zone de notifications sur le panneau. Ci-dessous figure une illustration de l'ic�ne d'authentification�:

Figure 16-1. L'ic�ne d'authentification

16.6.1. Suppression du fichier d'estampille

Avant de s'absenter d'une console sur laquelle une estampille PAM est activ�e, il est recommand� de supprimer le fichier d'estampille. Pour effectuer cette op�ration dans un environnement graphique, cliquez sur l'ic�ne d'authentification sur le panneau. Lorsque la bo�te de dialogue appara�t, cliquez sur le bouton Abandonner l'autorisation.

Figure 16-2. Dialogue de l'ic�ne d'authentification

Si vous vous �tes connect� � distance � un syst�me � l'aide de ssh, utilisez la commande /sbin/pam_timestamp_check -k root pour supprimer le fichier d'estampille.

NoteRemarque
 

Vous devez �tre connect� en tant que l'utilisateur qui, � l'origine, a appel� le module pam_timestamp.so afin d'utiliser la commande /sbin/pam_timestamp_check. Ne vous connectez pas en tant que super-utilisateur pour ex�cuter cette commande.

Pour obtenir davantage d'informations sur la suppression du fichier d'estampille � l'aide de pam_timestamp_check, consultez la page de manuel de pam_timestamp_check.

16.6.2. Directives pam_timestamp courantes

Le module pam_timestamp.so accepte plusieurs directives. Ci-dessous figurent les deux options les plus couramment utilis�es�:

  • timestamp_timeout — Sp�cifie le nombre de secondes pendant lequel le fichier d'estampille est valide. La valeur par d�faut est de 300 secondes (soit cinq minutes).

  • timestampdir — Sp�cifie le r�pertoire dans lequel le fichier d'estampille est stock�. La valeur par d�faut est /var/run/sudo.

Pour obtenir davantage d'informations sur le contr�le du module pam_timestamp.so, reportez-vous � la Section 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire