Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux 4: Manual de referencia - Formato del archivo de configuraci�n PAM

16.3. Formato del archivo de configuraci�n PAM

Cada archivo de configuraci�n PAM contiene un grupo de directivas formateadas como sigue:

<module interface>  <control flag>   <module name>   <module arguments>

En las siguientes secciones se explican cada uno de estos elementos.

16.3.1. Interfaz de m�dulo

Existen cuatro tipos de m�dulos PAM usados para controlar el acceso a los servicios. Estos tipos establecen una correlaci�n entre los diferentes aspectos del proceso de autorizaci�n:

  • auth — Esta interfaz de m�dulo autentifican el uso.Por ejemplo, solicita y verifica la validez de una contrase�a. Los m�dulos con esta interfaz tambi�n pueden establecer credenciales, tales como membrec�as de grupo o tickets Kerberos.

  • account — Esta interfaz de m�dulo verifica que sea permitido el acceso. Por ejemplo, puede verificar que la cuenta no haya caducado o que el usuario tenga permiso de iniciar sesiones a una hora del d�a particular.

  • password — Este m�dulo se usa para establecer y verificar contrase�as.

  • session — Esta interfaz de m�dulo configura y administra las sesiones de usuarios. Los m�dulos con esta interfaz tambi�n pueden realizar tareas adicionales que son requeridas para permitir acceso, como el montaje de directorios principales de usuarios y hacer el buz�n de correo del usuario disponible.

NotaNota
 

Un m�dulo individual puede proporcionar alguna o todas las interfaces de m�dulos mencionadas anteriormente. Por ejemplo, pam_unix.so proporciona todas las cuatro interfaces.

En un archivo de configuraci�n PAM, la interfaz del m�dulo es el primer campo a definir. Por ejemplo, una l�nea t�pica de una configuraci�n ser�a:

auth      required  pam_unix.so

Esto provoca que PAM observe el componente pam_unix.so del m�dulo auth.

16.3.1.1. Apilar interfaces de m�dulos

Las directivas de interfaces de m�dulos pueden ser apiladas o colocadas una sobre otra para que se puedan usar m�ltiples m�dulos para un mismo prop�sito. Por esta raz�n, el orden de una pila de m�dulos es muy importante en el procedimiento de autenticaci�n.

El hecho de apilarlos hace que sea m�s f�cil para que el administrador exija diversas condiciones antes de permitir la autentificaci�n del usuario. Por ejemplo, rlogin normalmente usa cinco m�dulos auth, como se puede ver en el archivo de configuraci�n de PAM:

auth       required     pam_nologin.so
auth       required     pam_securetty.so
auth       required     pam_env.so
auth       sufficient   pam_rhosts_auth.so
auth       required     pam_stack.so service=system-auth

Antes de que a alguien se le permita llevar a cabo el rlogin, PAM verifica que el archivo /etc/nologin no exista, que no est� intentando iniciar una sesi�n en modo remoto como root sobre una conexi�n de red y que se pueda cargar cualquier variable de entorno. Entonces si se lleva a cabo una autenticaci�n rhosts exitosa, se permita la conexi�n. Si falla la autenticaci�n rhosts entonces se lleva a cabo una autenticaci�n de contrase�a est�ndar.

16.3.2. Indicadores de control

Todos los m�dulos PAM generan un resultado de �xito o fracaso cuando se les llama. Los indicadores de control le dicen a PAM qu� hacer con el resultado. Como los m�dulos pueden apilarse en un determinado orden, los indicadores de control le dan la posibilidad de fijar la importancia de un m�dulo con respecto al objetivo final del proceso de autenticaci�n para el servicio.

Hay cuatro indicadores de control definidos:

  • required — El resultado del m�dulo debe ser exitoso para que la autenticaci�n continue. Si un m�dulo required falla, el usuario no es notificado hasta que los resultados en todos los m�dulos referenciando esa interfaz sean completados.

  • requisite — El resultado del m�dulo debe ser exit�so para que la autenticaci�n continue. Sin embargo, si el resultado de un m�dulo requisite falla, el usuario es notificado inmediatamente con un mensaje reflejando el primer m�dulo required o requisite fracasado.

  • sufficient — El resultado del m�dulo es ignorado si falla. Pero si el resultado del m�dulo con el indicador sufficient es exitoso y ning�n m�dulo con indicador required ha fallado, entonces no se requiere ning�n otro resultado y el usuario es autenticado para el servicio.

  • optional — Se ignora el resultado del m�dulo.Un m�dulo con una bandera optional s�lo es necesario para la autenticaci�n exitosa cuando no hay otros m�dulos referenciando la interfaz.

ImportanteImportante
 

El orden en el cual se llaman los m�dulos required no es cr�tico. Las banderas o indicadores de control sufficient y requisite provocan que el orden se vuelva importante.

Ahora est� disponible para PAM una sintaxis m�s nueva de indicadores de control que permiten un control m�s preciso. Por favor revise los documentos de PAM localizados en el directorio /usr/share/doc/pam-<version-number>/ para informaci�n sobre esta nueva sintaxis (donde <version-number> es el n�mero de versi�n de PAM).

16.3.3. Nombre del m�dulo

El nombre del m�dulo le proporciona a PAM el nombre del m�dulo que contiene la interfaz del m�dulo especificada. Bajo las versiones anteriores de Red Hat Enterprise Linux, se proporcionaba la ruta completa al m�dulo dentro del archivo de configuraci�n PAM, tal como /lib/security/pam_stack.so. Sin embargo, desde el advenimiento de sistemas multilib, que almacenan m�dulos PAM de 64-bits dentro del directorio /lib64/security/, el nombre del directorio es omitido debido a que las aplicaciones son enlazadas a la versi�n apropiada de libpam, que puede ubicar la versi�n correcta del m�dulo.

16.3.4. Argumentos de m�dulo

PAM utiliza argumentos para transmitir informaci�n a un m�dulo conectable durante la autenticaci�n para algunos m�dulos.

Por ejemplo, el m�dulo pam_userdb.so usa secretos almacenados en una base de datos Berkeley DB file para autenticar a los usuarios. La base de datos Berkeley es una base de datos open source incorporado en muchas aplicaciones. El m�dulo toma un argumento db para que la base de datos Berkeley conozca que base de datos usar para el servicio solicitado.

Una l�nea t�pica pam_userdb.so dentro de un archivo PAM es similar a:

auth      required  pam_userdb.so db=<path-to-file>

En el ejemplo anterior, sustituya <path-to-file> con la ruta completa al archivo de base de datos Berkeley.

Se ignoran los argumentos inv�lidos y no afectan en ning�n modo el �xito o fracaso del m�dulo PAM. Sin embargo, la mayor�a de los m�dulos reportar�n un error al archivo /var/log/messages.

 
 
  Published under the terms of the GNU General Public License Design by Interspire