Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Beispiele f�r PAM-Konfigurationsdateien

16.4. Beispiele f�r PAM-Konfigurationsdateien

Eine Konfigurationsdatei einer PAM-Anwendung sieht z.B. wie folgt aus:

#%PAM-1.0
auth      required  pam_securetty.so
auth      required  pam_unix.so shadow nullok
auth      required  pam_nologin.so
account   required  pam_unix.so
password  required  pam_cracklib.so retry=3
password  required  pam_unix.so shadow nullok use_authtok
session   required  pam_unix.so

Die erste Zeile ist ein Kommentar, was durch das Hash-Zeichen (#) am Anfang der Zeile erkenntlich ist.

Die Zeilen zwei bis vier stellen drei Module in den Stack f�r die Authentifizierung bei der Anmeldung.

auth      required  pam_securetty.so

Wenn der Benutzer sich als Root anzumelden versucht, stellt dieses Modul sicher, dass das Terminal, an dem er sich anmeldet, in der Datei /etc/securetty aufgef�hrt ist, falls solch eine Datei existiert.

auth      required  pam_unix.so shadow nullok

Dieses Modul fragt den Benutzer in einer Prompt nach einem Passwort und �berpr�ft dieses Passwort anhand der Information in /etc/passwd und in /etc/shadow, falls vorhanden.Das Modul pam_unix.so erkennt automatisch gespeicherte Shadow-Passw�rter und verwendet diese zur Authentifizierung von Benutzern. Siehe Abschnitt 6.5 f�r weitere Informationen.

Das Argument nullok weist das Modul pam_unix.so an, ein leeres Passwort zuzulassen.

auth      required  pam_nologin.so

Das ist der letzte Schritt der Authentifizierung. Es wird gepr�ft, ob die Datei /etc/nologin existiert. Falls nologin existiert und der Benutzer nicht als Root angemeldet ist, schl�gt die Authentifizierung fehl.

AnmerkungAnmerkung
 

In diesem Beispiel werden alle drei auth Module �berpr�ft, auch wenn schon beim ersten auth Modul Fehler auftreten. Der Grund daf�r ist: wenn ein Benutzer wei�, weshalb seine Authentifizierung abgelehnt wurde, ist es f�r ihn einfacher, diese zu umgehen.

account   required  pam_unix.so

Dieses Modul �bernimmt jegliche Pr�fung des Benutzeraccounts. Wenn z.B. Shadow-Passw�rter aktiviert worden sind, �berpr�ft das Modul pam_unix.so, ob der Account abgelaufen ist oder ob der Benutzer keine Passwort�nderung vorgenommen hat und die Nachfrist f�r eine �nderung abgelaufen ist.

password  required  pam_cracklib.so retry=3

Ist ein Passwort abgelaufen, fordert die Passwort-Komponente des pam_cracklib.so Moduls zur Eingabe eines neuen Passworts auf. Zus�tzlich wird das neue Passwort getestet, um festzustellen, ob es einfach durch ein W�rterbuch-basiertes Programm zum Erkennen von Passw�rtern erkannt werden kann. Schl�gt der Test einmal fehl, hat der Benutzer aufgrund des Arguments retry=3 zwei weitere M�glichkeiten, ein besseres Passwort zu erstellen.

password  required  pam_unix.so shadow nullok use_authtok

Diese Zeile legt fest, dass bei einer �nderung des Benutzer-Passworts durch das Programm die password Komponente des pam_unix.so Moduls verwendet wird. Das passiert nur, wenn der Teil auth des pam_unix.so Moduls bestimmt, dass das Passwort ge�ndert werden muss.

Das Argument shadow teilt dem Modul mit, beim Updaten eines Benutzer-Passworts ein Shadow-Passwort zu erstellen.

Das Argument nullok weist das Modul an, dem Benutzer zu erlauben sein Passwort von einem leeren Passwort zu �ndern. Andernfalls wird ein Null-Passwort als Account-Sperre betrachtet.

Das letzte Argument dieser Zeile use_authtok ist ein gutes Beispiel f�r die Wichtigkeit der Reihenfolge beim Stapeln von PAM-Modulen. Dieses Argument weist das Modul an, den Benutzer nicht zur Eingabe eines neuen Passworts aufzufordern. Stattdessen wird jedes Passwort akzeptiert, das von vorherigen Passwort-Modulen verwendet wurde. Auf diese Weise m�ssen allen neuen Passw�rter den pam_cracklib.so Test f�r sichere Passw�rter durchlaufen, bevor diese akzepiert werden.

session required pam_unix.so

Die letzte Zeile gibt an, dass das Modul pam_unix.so f�r die Verwaltung der Sitzung verwendet werden soll. Dieses Modul protokolliert bei jedem Start und Ende einer Sitzung den Benutzernamen und den Service-Typ in die Datei /var/log/messages. Wenn Sie weitere Funktionen ben�tigen, kann es durch das Stapeln mit anderen Sitzungsmodulen erg�nzt werden.

Die n�chste Beispielkonfigurationsdatei erl�utert das auth Modulstapeln f�r den rlogin Dienst.

#%PAM-1.0
auth      required    pam_nologin.so
auth      required    pam_securetty.so
auth      required    pam_env.so
auth      sufficient  pam_rhosts_auth.so
auth      required    pam_stack.so service=system-auth

Zun�chst �berpr�ft pam_nologin.so, ob /etc/nologin existiert. Ist dies der Fall, kann sich niemand anmelden, mit Ausnahme des Rootbenutzers.

auth      required    pam_securetty.so

Anschlie�end verhindert pam_securetty.so, dass Root-Anmeldungen auf unsicheren Terminals vorgenommen werden k�nnen. Damit werden praktisch alle Root-Anmeldungen �ber rlogin aus Sicherheitsgr�nden verhindert.

TippTipp
 

Um sich als Root von einem Remote-Rechner aus anzumelden, benutzen Sie OpenSSH. F�r weitere Informationen zum SSH Protokoll siehe Kapitel 20.

auth      required    pam_env.so

Diese Zeile l�dt das Modul pam_env.so, das die in /etc/security/pam_env.conf angegebenen Umgebungsvariablen festlegt.

auth      sufficient  pam_rhosts_auth.so

Das pam_rhosts_auth.so Modul authentifiziert den Benutzer unter Verwendung von .rhosts im Hauptverzeichnis des Benutzers. Sollte dies erfolgreich sein, wird PAM die Authentifizierung als erfolgreich ansehen. Sollte pam_rhosts_auth.so fehlschlagen, wird dieser Versuch der Authentifizierung ignoriert.

auth      required    pam_stack.so service=system-auth

Wenn die Authentifizierung des Benutzers durch pam_rhosts_auth.so gescheitert ist, f�hrt das pam_stack.so Modul eine normale Passwort-Authentifizierung durch.

Das Argument service=system-auth bedeutet, dass der Benutzer die PAM-Konfiguration zur System- Authentifizierung in /etc/pam.d/system-auth durchlaufen muss.

TippTipp
 

Wenn Sie den Prompt beim Eingeben des Passworts nicht anzeigen m�chten, nachdem die securetty Pr�fung fehlgeschlagen ist, k�nnen Sie das pam_securetty.so Modul von required in requisite �ndern.

 
 
  Published under the terms of the GNU General Public License Design by Interspire