Pluggbare autentiseringsmoduler

I databehandling er Pluggable Authentication Modules ( pluggerbare autentiseringsmoduler , forkortet PAM ) en mekanisme for å integrere forskjellige ordninger for autentisering lavt nivå i et API høyt nivå, og gjør det mulig å gjøre uavhengig av mønsterprogramvaren som krever godkjenning.

PAM er en kreasjon av Sun Microsystems og støttes i 2006 på Solaris- , Linux- , FreeBSD- , NetBSD- , AIX- og HP-UX- arkitekturer .

Den systemansvarlige kan da definere en godkjennings politikk uten å måtte rekompilere godkjenningsprogram . PAM gjør det mulig å kontrollere måten modulene settes inn i programmene ved å endre en konfigurasjonsfil.

Programmer som gir brukere tilgang til privilegier, må kunne autentisere dem. Når du logger på systemet, skriver du inn navn og passord. Påloggingsprosessen bekrefter at du er den du sier du er. Det finnes andre former for autentisering enn bruk av passord, som også kan lagres i forskjellige former.

PAM-moduler

PAM-moduler er dynamiske biblioteker (f.eks. Pam_unix.so ) som gir de seks autentiseringsprimitivene definert i standarden, gruppert i fire mekanismer  :

• Den konto Mekanismen gir et enkelt primitiv:, kontrollerer den om den valgte kontoen er tilgjengelig (hvis kontoen ikke er utløpt, hvis brukeren er autorisert til å koble på denne tiden av døgnet, etc.).
• Den autentiseringsmekanisme har to grunnelementer; det gir ekte autentisering, muligens ved å be om og verifisere et passord, og det definerer "identitetssertifikater" som gruppemedlemskap eller kerberos "billetter" .
• Den passord Mekanismen gir et enkelt primitiv: det benyttes til å oppdatere godkjenningstokenet (vanligvis et passord), enten fordi den er utløpt, eller fordi brukeren ønsker å endre den.
• Den sesjon Mekanismen har to grunnelementer: sette opp og lukking av sesjonen. Den aktiveres når en bruker har blitt autorisert for å tillate dem å bruke kontoen sin. Den gir den visse ressurser og tjenester, for eksempel ved å sette opp hjemmekatalogen, gjøre postkassen tilgjengelig, starte en ssh-agent, etc.

Utvidelser

• pam_mount er en PAM-utvidelse for å montere et filsystem når en bruker logger på. For eksempel kan vi starte samlingen av en CIFS- katalog ved hjelp av passordet som brukeren nettopp har angitt. I tillegg demonteres partisjonen når brukeren logger av. Ved å kombinere den med pam_ldap- modulen gjør det det mulig å bruke SaMBa / OpenLDAP- paret for autentisering og styring av brukerkataloger under Linux . Men funksjonene til pam_mount stopper ikke der: det lar også partisjoner av mange typer monteres på tilkobling, for eksempel krypterte partisjoner som loop- AES .

Anmeldelser av PAM

Se også

• Denne artikkelen er delvis eller helt hentet fra artikkelen med tittelen "  pam_mount  " (se listen over forfattere ) .

Eksterne linker

• (in) Linux PAM
• (in) Sun WFP