.\" Hey Emacs! This file is -*- nroff -*- source. .\" %Id: pam.8,v 1.2 1997/02/15 18:37:27 morgan Exp % .\" Copyright (c) Andrew G. Morgan 1996-7 .\" jpman %Id: pam.8,v 1.3 1999/02/11 09:24:24 kuma Stab % .TH PAM 8 "1997 Feb 9" "PAM 0.56" "PAM Manual" .SH 名称 PAM \- プラグ可能認証モジュール群 .SH 書式 .B /etc/pam.conf .sp 2 .SH 解説 本マニュアルの目的は、 .B PAM のクイックイントロダクションです。 更なる情報は、 .B "Linux-PAM system administrators' guide" を御覧ください。 .sp .BR PAM は、システム上でアプリケーション (サービス) の認証作業を行う ライブラリシステムです。 本ライブラリは、 一般的な不変のインタフェース (アプリケーションプログラミングインタフェース - API) を提供します。 .RB ( login "(1) " や .BR su "(1) のような) " 特権許可プログラム がこの API に従うことで、 標準の認証作業を遂行するようになります。 .sp PAM アプローチの基本的な特徴は、認証作業の性質を動的に設定可能とすることです。 言い換えると、個々のサービス提供アプリケーションがユーザを認証する方法を、 システム管理者は自由に選択できます。 この動的設定は、単一の .BR PAM 設定ファイル .BR /etc/pam.conf の内容で設定されます。 また、ディレクトリ .B /etc/pam.d/ に個々の設定ファイルを置くことで、設定を行うこともできます。 .IB "このディレクトリがあると " PAM " は " .BI /etc/pam.conf " を無視します。" .sp このマニュアルが対象とするシステム管理者にとっては、 .BR PAM ライブラリの内部動作を理解することは最重要ではありません。 理解すべき重要なことは、設定ファイルがアプリケーション .RB ( サービス ) と実際に認証作業を行うプラグ可能認証モジュール .RB ( PAM ) との間の接続を .I 定義する ことです。 .sp .BR PAM は、 .I 認証 作業を次の 4 個の独立した管理グループに分割します: .BR "account" " management (アカウント管理); " .BR "auth" "entication management (認証管理); " .BR "password" " management (パスワード管理); " .BR "session" " management (セッション管理)。" (設定ファイルでグループを表すために使用する短縮形を目立たさせています。) .sp 簡単に言うと、これらのグループは、 それぞれ、 ある制限されたサービスに対する典型的なユーザ要求が持つ、異なった側面の 面倒をみています。 .sp .BR account " - " アカウント証明型のサービスを提供します。 「ユーザのパスワードが期限切れになったか?」 「このユーザは、要求するサービスにアクセスを許されているか?」 といった事柄を扱います。 .br .BR auth "entication - " ユーザが名乗っている人物本人であることを確定します。 この確定は、通常は、ユーザが満すべき「挑戦 - 応答」の要求で実現されます。 例えば「あなたが名乗っているその人本人であるなら、 あなたのパスワードを入力してください。」が該当します。 全部の認証がこの型であるわけではなく、 (スマートカードや生物測定学デバイスなどを使用する) ハードウェアベースの認証方法があり、 適切なモジュールを使用することで、 より標準的な認証アプローチをシームレスに置き換え可能です - これが .BR PAM の柔軟性です。 .br .BR password " - " このグループの責任は、認証機構を更新することです。 このようなサービスは .BR auth グループのサービスと強く結び付いているのが普通です。 認証機構によっては、自己の更新をこの機能に任せているものがあります。 標準の UN*X のパスワードベースのアクセスは、明らかな例です。 「代わりのパスワードを入力してください。」がこれに該当します。 .br .BR session " - " このグループの仕事は、サービス提供の前後に実行されるべきことをカバーします。 このような作業には、認証記録の維持と、 ユーザのホームディレクトリのマウントが含まれます。 開始時と終了時に ユーザが利用可能なサービスに影響を与える モジュールへのフックを提供するので、 .BR session 管理グループは重要です。 .SH 設定ファイル .BR PAM を意識した特権許可アプリケーションは、 開始時に PAM-API への取り付けを起動します。 この起動により多くの作業が行われますが、 最重要事項は設定ファイル .BR /etc/pam.conf の読み込みです。 これは、 .BR /etc/pam.d/ ディレクトリの内容であることもあります。 これらのファイルは、このサービスが要求する認証作業を行う .BR PAM の一覧と、個々の .BR PAM が失敗したときの PAM-API の適切な動作の一覧をリストします。 .sp .B /etc/pam.conf 設定ファイルの文法は次の通りです。 ファイルはルールのリストから構成されます。 個々のルールは普通は単一行ですが、 `\\' で行末をエスケープすることで複数行に渡ることが可能です。 コメントは、前に `#' マークを置き、行末まで続きます。 .sp 各ルールは、空白で区切ったトークンの集合です。 最初の 3 つは大文字小文字を区別します: .sp .br .BR " service type control module-path module-arguments" .sp .B /etc/pam.d/ ディレクトリ中のファイルの文法は、 .I service フィールドが無い以外は同じです。 この場合、 .I service は .B /etc/pam.d/ ディレクトリ中のファイルの名前です。 このファイル名は小文字であることが必要です。 .sp .BR PAM の重要機能は、 ある認証作業用に多くの PAM のサービスを組合せる目的で、多くのルールを .I 積み重ね可能 ということです。 .sp .BR service は、普通は、対応するアプリケーションの親しみのある名前です。 .BR login や .BR su は良い例です。 .BR service " 名 " other は .I デフォルト ルールを与えるために予約されています。 現在のサービスに関して言及する行のみが (そのような行が存在しない場合は .BR other エントリが)、指定したアプリケーションに関連付けられます。 .sp .BR type は、そのルールに対応する管理グループです。 後続するモジュールをどの管理グループに関連付けるべきかを 指定するために使用されます。 有効なエントリは .BR account "; " .BR auth "; " .BR password "; " .BR session です。 これらのトークンの意味は前述してあります。 .sp 第 3 のフィールド .BR control は、PAM-API がこの認証作業に失敗したときにどうすべきかを示します。 有効な .BR control の値は次の通りです。 .BR requisite - この PAM が失敗すると、認証処理は即ちに終了します; .BR required - この PAM が失敗すると、究極的には PAM-API は失敗を返しますが、 それはこの .RB "(" service および .BR type の) 積み重なっているモジュールの残りが呼び出されたあとです; .BR sufficient - この種のモジュールが成功すると、 モジュールの積み重ねの認証条件を満します (これより前の .BR required モジュールが失敗していた場合、このモジュールの成功は .I 無視 されます); .BR optional - この .BR service "+" type に関連付けられているモジュールの積み重ねにおける唯一のモジュールである 場合のみ、このモジュールの成否は意味を持ちます。 .sp .BR module-path - アプリケーションが使用する PAM の完全なファイル名です。 .sp .BR module-arguments - 空白で区切られたトークンのリストであり、 指定した PAM の特定の動作を修正するために使用可能です。 引数については、個々のモジュールについて記述されているでしょう。 .SH 関連ファイル .BR /etc/pam.conf " - 設定ファイル。" .br .BR /etc/pam.d/ " - " .BR PAM の設定ディレクトリ。本ディレクトリが存在する場合、 .B /etc/pam.conf ファイルは無視されます。 .br .BR /usr/lib/libpam.so.X " - 動的ライブラリ。" .br .BR /usr/lib/pam_*.so " - PAM。 .SH エラー ライブラリの .BR PAM システムが発生する典型的なエラーは、 .BR syslog "(3)" に書き込まれます。 .SH 準拠 DCE-RFC 86.0, October 1995. .br 現在 DCE-RFC 委員会で検討されている追加機能も含まれています。 .SH バグ .sp 2 知られているものはありません。 .SH 関連項目 .BR "システム管理者用" "、" .BR "モジュール開発者用" "、" .BR "アプリケーション開発者用 の、3 つの .BR Linux-PAM ガイド。