aboutsummaryrefslogtreecommitdiff
path: root/fr_FR.ISO8859-1/articles/pam/article.xml
blob: fd2870c3dff6c689ab35c4fc387d257619208dcb (plain) (blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
1036
1037
1038
1039
1040
1041
1042
1043
1044
1045
1046
1047
1048
1049
1050
1051
1052
1053
1054
1055
1056
1057
1058
1059
1060
1061
1062
1063
1064
1065
1066
1067
1068
1069
1070
1071
1072
1073
1074
1075
1076
1077
1078
1079
1080
1081
1082
1083
1084
1085
1086
1087
1088
1089
1090
1091
1092
1093
1094
1095
1096
1097
1098
1099
1100
1101
1102
1103
1104
1105
1106
1107
1108
1109
1110
1111
1112
1113
1114
1115
1116
1117
1118
1119
1120
1121
1122
1123
1124
1125
1126
1127
1128
1129
1130
1131
1132
1133
1134
1135
1136
1137
1138
1139
1140
1141
1142
1143
1144
1145
1146
1147
1148
1149
1150
1151
1152
1153
1154
1155
1156
1157
1158
1159
1160
1161
1162
1163
1164
1165
1166
1167
1168
1169
1170
1171
1172
1173
1174
1175
1176
1177
1178
1179
1180
1181
1182
1183
1184
1185
1186
1187
1188
1189
1190
1191
1192
1193
1194
1195
1196
1197
1198
1199
1200
1201
1202
1203
1204
1205
1206
1207
1208
1209
1210
1211
1212
1213
1214
1215
1216
1217
1218
1219
1220
1221
1222
1223
1224
1225
1226
1227
1228
1229
1230
1231
1232
1233
1234
1235
1236
1237
1238
1239
1240
1241
1242
1243
1244
1245
1246
1247
1248
1249
1250
1251
1252
1253
1254
1255
1256
1257
1258
1259
1260
1261
1262
1263
1264
1265
1266
1267
1268
1269
1270
1271
1272
1273
1274
1275
1276
1277
1278
1279
1280
1281
1282
1283
1284
1285
1286
1287
1288
1289
1290
1291
1292
1293
1294
1295
1296
1297
1298
1299
1300
1301
1302
1303
1304
1305
1306
1307
1308
1309
1310
1311
1312
1313
1314
1315
1316
1317
1318
1319
1320
1321
1322
1323
1324
1325
1326
1327
1328
1329
1330
1331
1332
1333
1334
1335
1336
1337
1338
1339
1340
1341
1342
1343
1344
1345
1346
1347
1348
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook XML V4.5-Based Extension//EN"
	"../../../share/xml/freebsd45.dtd">

<!--
  - Copyright (c) 2001-2003 Networks Associates Technology, Inc.
  - All rights reserved.
  -
  - This software was developed for the FreeBSD Project by ThinkSec AS and
  - Network Associates Laboratories, the Security Research Division of
  - Network Associates, Inc.  under DARPA/SPAWAR contract N66001-01-C-8035
  - ("CBOSS"), as part of the DARPA CHATS research program.
  -
  - Redistribution and use in source and binary forms, with or without
  - modification, are permitted provided that the following conditions
  - are met:
  - 1. Redistributions of source code must retain the above copyright
  -    notice, this list of conditions and the following disclaimer.
  - 2. Redistributions in binary form must reproduce the above copyright
  -    notice, this list of conditions and the following disclaimer in the
  -    documentation and/or other materials provided with the distribution.
  - 3. The name of the author may not be used to endorse or promote
  -    products derived from this software without specific prior written
  -    permission.
  -
  - THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  - ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  - IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  - ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  - FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  - DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  - OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  - HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  - LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  - OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  - SUCH DAMAGE.
  -->

<article xmlns:xi="http://www.w3.org/2001/XInclude" lang='fr'>
  <articleinfo>
    <title>Pluggable Authentication Modules</title>

    <abstract>
      <para>Cet  article  dcrit  les  principes sous-jacent  et  les
      mcanismes  de   la  bibliothque  PAM,   il  explique  comment
      configurer PAM,  l'intgrer dans  les applications, et
      crire ses propres modules PAM.</para>

	  &trans.a.mathieu;
    </abstract>

    <copyright>
      <year>2001</year>
      <year>2002</year>
      <year>2003</year>
      <holder>Networks Associates Technology, Inc.</holder>
    </copyright>

    <authorgroup>
      <author>
	<firstname>Dag-Erling</firstname>
	<surname>Sm&oslash;rgrav</surname>
	<contrib>Contributed by </contrib>
      </author>
    </authorgroup>

    <legalnotice id="pam-legalnotice">
      <para>Cet  article  a  t  crit  pour le  Projet  FreeBSD  par
      ThinkSec  AS et  les laboratoires  de Networks  Associates,  la
      division de  recherche en  scurit de Networks  Associates, Inc.
      sous      le      contrat     DARPA/SPAWAR      N66001-01-C-8035
      (<quote>CBOSS</quote>),  en  tant  que  partie du  programme  de
      recherche DARPA CHATS.</para>
    </legalnotice>

    <releaseinfo>$FreeBSD$</releaseinfo>
  </articleinfo>

  <section id="pam-intro">
    <title id="pam-intro.title">Introduction</title>

	 <para>La  bibliothque  PAM  est  une  API  gnralise  pour  les
	 services   relevant  de   l'authentification  permettant   &agrave;  un
	 administrateur    systme   d'ajouter    une    nouvelle   mthode
	 d'authentification en  ajoutant simplement un  nouveau module PAM,
	 ainsi que de  modifier  les  rgles d'authentification  en  ditant  les
	 fichiers de configuration.</para>

	 <para>PAM  a t conu  et dvelopp  en 1995  par Vipin  Samar et
	 Charlie  Lai  de Sun  Microsystems,  et  n'a  pas beaucoup  volu
	 depuis. En  1997 l'Open Group publie  les premires spcifications
	 XSSO  qui standardisent  l'API  PAM et  ajoute  des extensions  pour
	 un simple (ou plutot intgr) &quot;sign-on&quot;.  Lors  de l'criture de  cet article, la  spcification n'a
	 toujours pas t adopte comme standard.</para>

	 <para>Bien  que  cet  article  se  concentre  principalement  sur
	 FreeBSD  5.x,  qui  utilise  OpenPAM, il  devrait  galement  tre
	 applicable  &agrave; FreeBSD 4.x  qui utilise  Linux-PAM, ainsi qu'&agrave; d'autres
	 systmes d'exploitations tels que Linux ou Solaris.</para>

    <section id="pam-trademarks">
      <title id="pam-trademarks.title">Marques dposes</title>

      <para>Sun, Sun Microsystems, SunOS and Solaris are trademarks or
	registered trademarks of Sun Microsystems, Inc.</para>

      <para>UNIX and The Open Group are trademarks or registered
	trademarks of The Open Group.</para>

      <para>All other brand or product names mentioned in this
	document may be trademarks or registered trademarks of their
	respective owners.</para>
    </section>
  </section>

  <section id="pam-terms">
    <title id="pam-terms.title">Termes et conventions</title>

    <section id="pam-definitions">
      <title id="pam-definitions.title">Dfinitions</title>


		<para>La  terminologie   de  PAM  est  plutt   confuse.  Ni  la
		publication originale  de Samar et Lai, ni  la spcification XSSO
		n'ont essay de dfinir formellement des termes pour les acteurs
		et  les  entits intervenant  dans  PAM, les termes  qu'ils
		utilisent (mais  ne dfinissent  pas) sont parfois  trompeurs et
		ambigus.   Le   premier   essai  d'tablir   une   terminologie
		consistante  et  non ambigu  fut  un  papier  crit par  Andrew
		G. Morgan (l'auteur de Linux-PAM) en 1999. Bien que les choix de
		Morgan furent  un norme  pas en avant,  ils ne sont  pas parfait
		d'aprs  l'auteur de  ce  document.  Ce qui  suit,
		largement  inspir par  Morgan, est un  essai de  dfinir prcisment  et sans
		ambigut des termes pour  chaque acteur ou entit utilis dans
		PAM.</para>

      <glosslist>
	<glossentry>
	  <glossterm>compte</glossterm>
	  <glossdef>
	    <para>L'ensemble  de  permissions  que  le demandeur  demande  a
	 	l'arbitre.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>demandeur</glossterm>
	  <glossdef>
	    <para>L'utilisateur         ou        l'entit        demandant
	    authentification.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>arbitre</glossterm>
	  <glossdef>
	    <para>L'utilisateur ou l'entit possdant les privilges ncessaires
	    pour   vrifier  la  requte   du  demandeur   ainsi que  l'autorit
	    d'accorder ou de rejeter la requte.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>chane</glossterm>
	  <glossdef>
	    <para>Une squence de modules qui sera invoque pour rpondre &agrave;
	    une requte  PAM. La chane comprend  les informations concernant
	    l'ordre dans lequel invoquer  les modules, les arguments &agrave; leur
	    passer et la faon d'interprter les rsultats.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>client</glossterm>
	  <glossdef>
	    <para>L'application      responsable     de      la     requte
	    d'authentification   au   nom   du   demandeur   et   de recueillir
	    l'information d'authentification ncessaire.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>mcanisme</glossterm>
	  <glossdef>
	    <para>Il  s'agit  de  l'un  des  quatre  groupes  basiques  de
	    fonctionnalits  fournit par PAM  : authentification,  gestion de
	    compte,   gestion   de   session   et   mise &agrave; jour   du   jeton
	    d'authentification.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>module</glossterm>
	  <glossdef>
	    <para>Une collection d'une ou plusieurs fonctions implmentant
	    un  service  d'authentification  particulier,  rassembles  dans  un
	    fichier binaire (normalement chargeable dynamiquement)
	    et identifi par un nom unique.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>rgles</glossterm>
	  <glossdef>
	    <para>Le  jeu  complet  de  configuration  des rgles  dcrivant
	    comment   traiter   les    requtes   PAM   pour   un   service
	    particulier. Une rgle consiste normalement en quatre chanes,
	    une   pour  chaque   mcanisme,  bien   que   quelques  services
	    n'utilisent pas les quatre mcanismes.</para>

 </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>serveur</glossterm>
	  <glossdef>
	    <para>L'application agissant au nom de l'arbitre pour converser
	    avec le client,  rcuprer les informations d'authentification,
	    vrifier les droits du demandeur et autoriser ou rejeter
	    la requte.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>service</glossterm>
	  <glossdef>
	    <para>Un  ensemble de  serveurs  fournissant des  fonctionnalits
	    similaires  ou   lies  et  ncessitant   une  authentification
	    similaire. Les rgles  de PAM sont dfinies sur  un le principe
	    de par-service;  ainsi tous les serveurs qui  demandent le mme
	    nom de service seront soumis aux mmes rgles.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>session</glossterm>
	  <glossdef>
	    <para>Le  contexte  dans  lequel  le  service  est  dlivr  au
	    demandeur par le serveur. L'un  des quatre mcanismes de PAM, la
	    gestion  de   session,  s'en occupe   exclusivement  par  la
	    mise en place  et le relchement  de ce contexte.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>jeton</glossterm>
	  <glossdef>
	    <para>Un morceau d'information associ avec un compte tel qu'un
	    mot de passe  ou une passphrase que le  demandeur doit fournir
	    pour prouver son identit.</para>
	  </glossdef>
	</glossentry>

	<glossentry>
	  <glossterm>transaction</glossterm>
	  <glossdef>
	    <para>Une squence de requtes depuis le mme demandeur vers la
	    mme    instance    du    mme   serveur,    commenant    avec
	    l'authentification  et la  mise en  place de  la session  et se
	    terminant avec le dmontage de la session.</para>
	  </glossdef>
	</glossentry>
      </glosslist>
    </section>

    <section id="pam-usage-examples">
      <title id="pam-usage-examples.title"> Exemples d'utilisation</title>

      <para>Cette section  a pour but d'illustrer
      quelques-uns des termes  dfinis prcdemment  &agrave; l'aide
      d'exemples basiques.</para>

      <section>
	<title>Client et serveurs ne font qu'un</title>

	<para>Cet exemple  simple montre <literal>alice</literal> utilisant
	&man.su.1; pour devenir <literal>root</literal>.</para>


<screen>&prompt.user; <userinput>whoami</userinput>
alice
&prompt.user; <userinput>ls -l `which su`</userinput>
-r-sr-xr-x  1 root  wheel  10744 Dec  6 19:06 /usr/bin/su
&prompt.user; <userinput>su -</userinput>
Password: <userinput>xi3kiune</userinput>
&prompt.root; whoami
root
</screen>

	<itemizedlist>
	  <listitem>
	    <para>Le demandeur est <literal>alice</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>Le compte est <literal>root</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>Le processus  &man.su.1; est &agrave; la fois client et serveur.</para>
	  </listitem>
	  <listitem>
	    <para>Le jeton d'authentification est
	    <literal>xi3kiune</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>L'arbitre  est <literal>root</literal>,  ce  qui explique
		   pourquoi            &man.su.1;           est           setuid
		   <literal>root</literal>.</para>
	  </listitem>
	</itemizedlist>
      </section>

      <section>
	<title>Client et serveur sont distincts.</title>

	<para>L'exemple  suivant   montre  <literal>eve</literal>  essayant
	d'initier        une       connexion        &man.ssh.1;       vers
	<literal>login.exemple.com</literal>, en demandant  &agrave; se logguer en
	tant que <literal>bob</literal>. La connexion russit. Bob aurait du choisir
	un meilleur mot de passe !</para>

<screen>&prompt.user; <userinput>whoami</userinput>
eve
&prompt.user; <userinput>ssh bob@login.example.com</userinput>
bob@login.example.com's password: <userinput>god</userinput>
Last login: Thu Oct 11 09:52:57 2001 from 192.168.0.1
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
	The Regents of the University of California.  All rights reserved.
FreeBSD 4.4-STABLE (LOGIN) #4: Tue Nov 27 18:10:34 PST 2001

Welcome to FreeBSD!
&prompt.user;</screen>

	<itemizedlist>
	  <listitem>
	    <para>Le demandeur est  <literal>eve</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>Le client d'<literal>eve</literal> est reprsent par les processus &man.ssh.1; </para>
	  </listitem>
	  <listitem>
	    <para>Le serveur est le processus &man.sshd.8; sur
	      <literal>login.example.com</literal></para>
	  </listitem>
	  <listitem>
	    <para>Le compte est <literal>bob</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>Le jeton d'identification est
	    <literal>god</literal>.</para>
	  </listitem>
	  <listitem>
	    <para>Bien  que  cela ne  soit  pas  montr  dans cet  exemple,
	     l'arbitre est <literal>root</literal>.</para>
	  </listitem>
	</itemizedlist>
      </section>

      <section>
	<title>Exemple de rgles</title>

	<para>Les  lignes  qui  suivent  sont  les  rgles  par  dfaut  de
	  <literal>sshd</literal>:</para>

<programlisting>
sshd	auth		required	pam_nologin.so	no_warn
sshd	auth		required	pam_unix.so	no_warn try_first_pass
sshd	account		required	pam_login_access.so
sshd	account		required	pam_unix.so
sshd	session		required	pam_lastlog.so	no_fail
sshd	password	required	pam_permit.so</programlisting>

	<itemizedlist>
	  <listitem>
	  	 <para>Cette      politique      s'applique      au      service
	  	 <literal>sshd</literal> (qui n'est pas ncessairement restreint
	  	 au serveur &man.sshd.8;)</para>
	  </listitem>
	  <listitem>
	    <para><literal>auth</literal>, <literal>account</literal>,
	      <literal>session</literal> et
	      <literal>password</literal> sont des mcanismes.</para>
	  </listitem>
	  <listitem>
	    <para><filename>pam_nologin.so</filename>,
	      <filename>pam_unix.so</filename>,
	      <filename>pam_login_access.so</filename>,
	      <filename>pam_lastlog.so</filename>                         et
	      <filename>pam_permit.so</filename> sont  des modules.  Il est
	      clair  dans cet exemple  que <filename>pam_unix.so</filename>
	      fournit  au  moins  deux  mcanismes (  authentification  et
	      gestion de compte).</para>
	  </listitem>
	</itemizedlist>
      </section>
    </section>

    <section id="pam-conventions">
      <title id="pam-conventions.title">Conventions</title>

      <para><!--XXX-->Cette section n'a pas encore t crite.</para>
    </section>
  </section>

  <section id="pam-essentials">
    <title id="pam-essentials.title">Les bases de PAM</title>

    <section id="pam-facilities-primitives">
      <title id="pam-facilities-primitives.title">Mcanismes et primitives</title>

		<para>L'API   PAM  fournit  six   primitives  d'authentification
		diffrentes  regroupes dans quatre  mcanismes qui  seront dcrits
		dans la partie suivante.</para>


      <variablelist>
	<varlistentry>
	  <term><literal>auth</literal></term>
	  <listitem>
	    <para><emphasis>Authentification.</emphasis>    Ce   mcanisme
	      concerne  l'authentification  du  demandeur  et  tablit  les
	      droits du compte. Il fournit deux primitives :</para>


	    <itemizedlist>
	      <listitem>
		<para>&man.pam.authenticate.3;    authentifie    le   demandeur,
		gnralement  en demandant  un jeton  d'identification et  en le
		comparant  a une  valeur stocke  dans une  base de  donnes ou
		obtenue par le biais d'un serveur d'authentification.</para>
	      </listitem>

	      <listitem>
		<para>&man.pam.setcred.3;  tabli les  paramtres du  compte tel
		que l'uid, les groupes dont  le compte fait parti ou les limites
		sur l'utilisation des ressources.</para>
	      </listitem>
	    </itemizedlist>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>account</literal></term>
	  <listitem>
	    <para><emphasis>Gestion  de  compte.</emphasis>  Ce  mcanisme
	    concerne la  disponibilit du  compte pour des raisons autres que
	    l'authentification.  Par exemple  les  restrictions bases  sur
	    l'heure courante ou la charge  du serveur. Il fournit une seule
	    primitive:</para>

	    <itemizedlist>
	      <listitem>
		<para>&man.pam.acct.mgmt.3;  vrifie que  le compte  demand est
		disponible.</para>
	</listitem>
	    </itemizedlist>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>session</literal></term>
	  <listitem>
	    <para><emphasis>Gestion  de  session.</emphasis> Ce  mcanisme
	    concerne la mise en place de la session  et sa terminaison, par
	    exemple l'enregistrement  de la  session dans les  journaux. Il
	    fournit deux primitives:</para>
	    <itemizedlist>
	      <listitem>
		<para>&man.pam.open.session.3; accomplie  les tches associes &agrave;
		la mise  en place  d'une session :  ajouter une entre  dans les
		bases  <filename>utmp</filename>  et  <filename>wtmp</filename>,
		dmarrer un agent SSH...</para>
	      </listitem>

	      <listitem>
		<para>&man.pam.close.session.3; accomplie les tches associes &agrave;
		la terminaison d'une session : ajouter une entre dans les bases
		<filename>utmp</filename>  et <filename>wtmp</filename>, arrter
		l'agent SSH...</para>
	      </listitem>
	    </itemizedlist>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>password</literal></term>
	  <listitem>
	    <para><emphasis>Gestion   des  mots  de   passe.</emphasis>  Ce
	 mcanisme est  utilis pour modifier  le jeton d'authentification
	 associ &agrave; un  compte, soit parce qu'il a expir,  soit parce que
	 l'utilisateur   dsire   le   changer.   Il  fournit   une   seule
	 primitive:</para>
	    <itemizedlist>
	      <listitem>
		<para>&man.pam.chauthtok.3; modifie le jeton d'authentification,
		et ventuellement vrifie que celui-ci est assez robuste pour ne
		pas  tre  devin  facilement  ou  qu'il  n'a  pas  dj&agrave; utilis.
		</para>

	      </listitem>
	    </itemizedlist>
	  </listitem>
	</varlistentry>
      </variablelist>

    </section>

    <section id="pam-modules">
      <title id="pam-modules.title">Modules</title>


      <para>Les modules  sont le concept  clef de PAM; aprs  tout ils
      constituent  le  <quote>M</quote>  de  PAM. Un  module  PAM  est
      lui-mme un  morceau de code qui implmente  les primitives d'un
      ou   plusieurs   mcanismes    pour   une   forme   particulire
      d'authentification; par  exemple, les bases de mots  de passe UNIX
      que sont NIS, LDAP et Radius.</para>

      <section id="pam-module-naming">
	<title id="pam-module-naming.title">Nom des modules</title>


	<para>FreeBSD implmente chaque  mcanismes dans un module distinct
	  nomm
	  <literal>pam_<replaceable>mcanisme</replaceable>.so</literal>
	  (par  exemple  <literal>pam_unix.so</literal>  pour le  mcanisme
	  Unix  .)   Les autres  implementations  possdent  parfois des  modules
	  spars pour  des mcanismes spars et incluent aussi  bien le
	  nom du service  que celui du mcanisme dans le  nom du module. Un
	  exemple  est le  module  <literal>pam_dial_auth.so.1</literal> de
	  Solaris  qui  est  utilis  pour  authentifier  les  utilisateurs
	  dialup.</para>
      </section>

      <section id="pam-module-versioning">
	<title id="pam-module-versioning.title">Gestion des versions de module </title>

	<para>L'implmentation  originale  de PAM  par  FreeBSD, base  sur
	Linux-PAM, n'utilisait  pas de numro  de version pour  les modules
	PAM. Ceci peut poser des  problmes avec les applications tiers qui
	peuvent tre lies avec  d'anciennes bibliothques systmes, puisqu'il
	n'y  a pas  possibilit  de charger  la  version correspondante  du
	module dsir.</para>

	<para>Pour  sa part,  OpenPAM cherche  les  modules qui  ont la  mme
	version que la bibliothque PAM (pour le moment 2) et se rabat sur
	un module  sans version si aucun  module avec version  n'a put tre
	charg.  Ainsi les anciens  modules peuvent  tre fournis  pour les
	anciennes  applications,   tout  en  permettant   aux  nouvelles applications
	(ou  bien nouvellement  compiles)  de  tirer parti  des
	modules les plus rcents.</para>

	<para>Bien que les modules PAM de Solaris possdent gnralement un
	numro de version, ils ne sont pas rellement versionns car
	le numro  correspond &agrave; une  partie du nom  du module et  doit tre
	inclus dans la configuration.</para>
      </section>
    </section>

    <section id="pam-chains-policies">
      <title id="pam-chains-policies.title">Chanes et politiques</title>

      <para>Lorsqu'un   <!--XXX-->serveur  initie   une   transaction  PAM,   la
      bibliothque PAM essaie de  charger une politique pour le service
      spcifi  dans  l'appel  a  &man.pam.start.3;  .   La  politique
      indique comment la requte d'authentification doit tre traite
      et est dfinie dans un  fichier de configuration. Il  s'agit de
      l'autre   concept    clef   de   PAM :    la   possibilit   pour
      l'administrateur  de  configurer  la  politique de  scurit  d'un
      systme en ditant simplement une fichier texte.</para>

      <para>Une politique consiste en quatre chanes, une pour chacune
      des  quatre mcanismes  de PAM. Chaque  chane est  une  suite de
      rgles  de  configuration,  chacune  spcifiant un  module  &agrave;
      invoquer, des paramtres, options,  &agrave; passer au module et un
      drapeau de  contrle qui dcrit  comment interprter le  code de
      retour du module.</para>

      <para>Comprendre  le  drapeau  de  contrle est  essentiel  pour
      comprendre  les  fichiers de  configuration  de  PAM. Il  existe
      quatre drapeaux de contrle diffrents :</para>

      <variablelist>
	<varlistentry>
	  <term><literal>binding</literal></term>
	  <listitem>
	    <para>Si le  module russit et qu'aucun module  prcdent de la
	    chane n'a  chou, la chane s'interrompt  immdiatement et la
	    requte  est autorise.  Si le  module choue  le reste  de la
	    chane   est  excut,   mais   la  requte   est  rejete   au
	    final.</para>

	    <para>Ce drapeau  de contrle a  t introduit par  Sun Solaris
	    dans la  version 9  (SunOS 5.9);  il est aussi  support par
	    OpenPAM.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>required</literal></term>
	  <listitem>
	    <para>Si le module russit, le  reste de la chane est excut,
	    et  la  requte est  autorise  si  aucun  des autres  modules
	    n'choue.  Si le  module  choue,  le reste  de  la chane  est
	    excut, mais au final la requte est rejete.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>requisite</literal></term>
	  <listitem>
	    <para>Si le module  russit le reste de la  chane est excut,
	    et  la   requte  est   autorise  sauf  si   d'autres  modules
	    chous.  Si  le  module  choue la  chane  est  immdiatement
	    termine et la requte est rejete.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>sufficient</literal></term>
	  <listitem>
	    <para>Si le  module russit  et qu'aucun des  modules prcdent
	    n'a chou  la chane est immdiatement termine  et la requte
	    est alloue. Si  le module choue il est ignore  et le reste de
	    la chane est excut.</para>

	    <para>Puisque  la smantique  de  ce drapeau  peut  tre un  peu
	    confuse,  spcialement  lorsqu'il s'agit  de  celui du  dernier
	    module de  la chane, il  est recommand d'utiliser  le drapeau
	    <literal>binding</literal>   &agrave;   la   place  de   celui-ci   sous la condition que
	    l'implmentation le supporte.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>optional</literal></term>
	  <listitem>
	    <para>Le  module est excut  mais le  rsultat est  ignor. Si
	    tout    les    modules    de    la    chane    sont    marqus
	    <literal>optional</literal>,   toutes   les   requtes   seront
	    toujours acceptes.</para>
	  </listitem>
	</varlistentry>
      </variablelist>

      <para>Lorsqu'un  serveur invoque l'une  des six  primitives PAM,
       PAM  rcupre  la chane  du  mcanisme  &agrave;  laquelle la  requte
      correspond et  invoque chaque module de la  chane dans l'ordre
      indiqu,  jusqu'&agrave;  ce que  la  fin  soit  atteinte ou  qu'aucune
      excution  supplmentaire ne  soit ncessaire  (soit &agrave;  cause du
      succs    d'un   module    en    <literal>binding</literal>   ou
      <literal>sufficient</literal>,  soit  &agrave;  cause de  l'chec  d'un
      module <literal>requisite</literal>). La requte est accepte si
      et seulement  si au moins un  module a t invoqu,  et que tout
      les modules non optionnels ont russi.</para>

      <para>Notez qu'il est possible, bien que peu courant, d'avoir le
      mme  module  list plusieurs  fois  dans  la  mme chane.  Par
      exemple un module qui dtermine  le nom utilisateur et le mot de
      passe  &agrave;  l'aide  d'un   serveur  directory  peut  tre  invoqu
      plusieurs  fois   avec  des  paramtres   spcifiant  diffrents
      serveurs a contacter.  PAM considre les diffrentes occurrences
      d'un  mme  module  dans  une  mme  chane  comme  des  modules
      diffrents et non lis.</para>
    </section>

    <section id="pam-transactions">
      <title id="pam-transactions.title">Transactions</title>

      <para>Le cycle  de vie d'une transaction PAM  typique est dcrit
      ci-dessous. Notez que si l'une  de ces tapes choue, le serveur
      devrait  reporter un message  d'erreur au  client et  arrter la
      transaction.</para>

      <orderedlist>
	<listitem>
	  <para>Si  ncessaire,  le   serveur  obtient  les  privilges  de
	  l'arbitre par le biais d'un mcanisme indpendant de PAM &mdash;
	  gnralement en ayant  t dmarr par <literal>root</literal> ou
	  en tant setuid <literal>root</literal>.</para>
	</listitem>

	<listitem>
	  <para>Le  serveur appel  &man.pam.start.3; afin  d'initialiser la
	  bibliothque PAM  et indique  le service et  le compte  cible, et
	  enregistre une fonction de conversation approprie.</para>
	</listitem>

	<listitem>
	  <para>Le  serveur  obtient  diverses informations  concernant  la
	  transaction (tel que le nom  d'utilisateur du demandeur et le nom
	  d'hte de la machine sur  lequel le client tourne) et les soumet
	  &agrave; PAM en utilisant la fonction &man.pam.set.item.3;.</para>
	</listitem>

	<listitem>
	  <para>Le serveur appel  &man.pam.authenticate.3; pour authentifier le demandeur.</para>
	</listitem>

	<listitem>
	  <para>Le  serveur  appel  la fonction  &man.pam.acct.mgmt.3;  qui
	  vrifie  que le compte  est valide  et disponible.  Si le  mot de
	  passe est correct mais a expir, &man.pam.acct.mgmt.3; retournera
	  <literal>PAM_NEW_AUTHTOK_REQD</literal>    &agrave;    la    place    de
	  <literal>PAM_SUCCESS</literal>.</para>
	</listitem>

	<listitem>
	  <para>Si        l'tape        prcdente       a        retourn
	  <literal>PAM_NEW_AUTHTOK_REQD</literal>,    le    serveur   appel
	  maintenant  &man.pam.chauthtok.3;  pour  obliger l'utilisateur  &agrave;
	  changer le jeton d'authentification du compte dsir.</para>
	</listitem>

	<listitem>
	  <para>Maintenant que le demandeur a t correctement authentifi,
	  le serveur appelle  &man.pam.setcred.3; pour obtenir les privilges
	  du compte dsir. Il lui est  possible de faire ceci parce qu'il
	  agit au nom de l'arbitre dont il possde les privilges.</para>
	</listitem>

	<listitem>
	  <para>Lorsque les privilges corrects  ont t tabli le serveur
	  appelle   &man.pam.open.session.3;   pour   mettre  en   place   la
	  session.</para>
	</listitem>

	<listitem>
	  <para>Maintenant le serveur effectue les services demands par le
	  client &mdash; par exemple fournir un shell au demandeur.</para>
	</listitem>

	<listitem>
	  <para>Lorsque le  serveur a  fini de servir  le client,  il appelle
	  &man.pam.close.session.3; afin de  terminer la session.</para>
	</listitem>

	<listitem>
	  <para>Pour finir, le  serveur appelle &man.pam.end.3; afin signaler
	  &agrave; la bibliothque  PAM que la transaction se termine et qu'elle peut librer
	  les   ressources    qu'elle   a    allou   au   cours    de   la
	  transaction.</para>
	</listitem>
      </orderedlist>
    </section>
  </section>

  <section id="pam-config">
    <title id="pam-config.title">Configuration de PAM</title>

    <section id="pam-config-file-locations">
      <title id="pam-config-file-locations.title">Emplacement des fichiers de configuration</title>

      <para>Le fichier de  configuration de PAM est traditionnellement
      <filename>/etc/pam.conf</filename>.  Ce fichier  contient toutes
      les  politiques  de PAM  pour  votre  systme.  Chaque ligne  du
      fichier dcrit une tape dans une chane, tel que nous allons le
      voir ci-dessous:</para>

<programlisting>login   auth    required        pam_nologin.so  no_warn</programlisting>

      <para>Les champs  sont respectivement, le service, le nom  du mcanisme, le
      drapeau  de contrle,  le nom  du  module et  les arguments  du
      module. Tout  champ additionnel est considr  comme argument du
      module.</para>

      <para>Une   chane  diffrente   est   construite  pour   chaque couple
      service/mcanisme;  ainsi,  alors  que  l'ordre  des  lignes  est
      important  lorsqu'il s'agit  des mmes  services  ou mcanismes,
      l'ordre  dans  lequel  les  diffrents  services  et  mcanismes
      apparaissent  ne  l'est pas  &mdash;  except  l'entre pour  le
      service  <literal>other</literal>, qui  sert de  rfrence par dfaut  et doit
      tre  plac &agrave;  la  fin.  L'exemple du  papier  original sur  PAM
      regroupait  les lignes  de configurations  par mcanisme  et le
      fichier   <filename>pam.conf</filename>  de   Solaris   le  fait
      toujours, mais  FreeBSD groupe  les lignes de  configuration par
      service. Toutefois il ne s'agit pas de la seule possibilit et les autres possdent
      aussi un sens.</para>


      <para>OpenPAM et Linux-PAM offrent un mcanisme de configuration
      alternatif  o les  politiques  sont places  dans des  fichiers
      spars portant  le nom du service auquel  ils s'appliquent. Ces
      fichiers  sont situs dans  <filename>/etc/pam.d/</filename> et
      ne contiennent que  quatre champs &agrave; la place  de cinq &mdash; le
      champ contenant  le nom du service  est omis. Il  s'agit du mode
      par  dfaut   dans  FreeBSD  4.x.   Notez  que  si   le  fichier
      <filename>/etc/pam.conf</filename>   existe   et  contient   des
      informations de configuration pour des services qui n'ont pas de
      politique  spcifie  dans <filename>/etc/pam.d</filename>,  ils
      seront utiliss pour ces services.</para>



      <para>Le  gros avantage de  <filename>/etc/pam.d/</filename> sur
      <filename>/etc/pam.conf</filename>   est   qu'il  est   possible
      d'utiliser  la mme  politique pour  plusieurs services  en liant
      chaque  nom  de service  &agrave;  un  fichier  de configuration.  Par
      exemple  pour  utiliser  la  mme politique  pour  les  services
      <literal>su</literal>  et <literal>sudo</literal>,  nous pouvons
      faire comme ceci :</para>

<screen>&prompt.root; <userinput>cd /etc/pam.d</userinput>
&prompt.root; <userinput>ln -s su sudo</userinput></screen>

      <para>Ceci  fonctionne car  le nom  de service  est  dtermin a
      partir  du nom  de fichier  plutt qu'indiqu  &agrave;  l'intrieur du
      fichier de configuration, ainsi le mme fichier peut tre utilis
      pour des services nomms diffremment.</para>

      <para>Un autre avantage est  qu'un logiciel tiers peu facilement
      installer  les politiques  pour ses  services sans  avoir besoin
      d'diter  <filename>/etc/pam.conf</filename>. Pour  continuer la
      tradition     de     FreeBSD,     OpenPAM     regardera     dans
      <filename>/usr/local/etc/pam.d</filename>   pour   trouver   les
      fichiers  de  configurations; puis si  aucun n'est  trouv  pour  le
      service   demand,   il cherchera dans   <filename>/etc/pam.d/</filename>   ou
      <filename>/etc/pam.conf</filename>.</para>

      <para>Finalement,   quelque   soit   le   mcanisme   que   vous
      choisissiez,       la      politique      <quote>magique</quote>
      <literal>other</literal> est  utilise par dfaut  pour tous les
      services qui n'ont pas leur propre politique.</para>

    </section>

    <section id="pam-config-breakdown">
      <title id="pam-config-breakdown.title">Breakdown of a
	configuration line</title>

      <para>Comme      expliqu     dans     <xref
	linkend="pam-config-file-locations"/>, chaque ligne de
	<filename>pam.conf</filename> consiste en quatre champs ou plus: le
	nom de service, le nom du mcanisme, le drapeau de contrle, le nom
	du module et la prsence ou non d'arguments pour le module.</para>

      <para>Le nom du service  est gnralement, mais pas toujours, le
      nom  de  l'application auquelle  les  rgles  s'appliquent. Si  vous
      n'tes pas sr, rfrez vous &agrave; la documentation de l'application
      pour dterminer quel nom de service elle utilise.</para>


      <para>Notez         que         si         vous         utilisez
      <filename>/etc/pam.d/</filename>      &agrave;     la      place     de
      <filename>/etc/pam.conf</filename>,   le  nom  du   service  est
      spcifi par  le nom du  fichier de configuration et  n'est pas
      indiqu  dans   les  lignes  de  configuration   qui,  ds  lors,
      commencent par le nom du mcanisme.</para>


      <para>Le mcanisme est  l'un des quatre mots clef  dcrit dans
      <xref        linkend="pam-facilities-primitives"/>.</para>

      <para>De mme, le  drapeau de contrle est l'un  des quatre mots
      clef dcrits dans <xref linkend="pam-chains-policies"/> et  dcrit comment
      le   module   doit   interprter    le   code   de   retour   du
      module.  Linux-PAM  supporte une  syntaxe  alternative qui  vous
      laisse  spcifier l'action &agrave;  associer &agrave;  chaque code  de retour
      possible;  mais ceci  devrait tre  vit puisque  ce  n'est pas
      standard et troitement li &agrave; la faon dont Linux-PAM appelle les
      services  (qui diffre  grandement  de la  faon  de Solaris  et
      OpenPAM). C'est  sans tonnement que l'on  apprend qu'OpenPAM ne
      supporte pas cette syntaxe.</para>
    </section>

    <section id="pam-policies">
      <title id="pam-policies.title">Politiques</title>

      <para>Pour  configurer  PAM correctement,  il  est essentiel  de
      comprendre comment les politiques sont interprtes.</para>

      <para>Lorsqu'une   application   appelle  &man.pam.start.3;   la
      bibliothque  PAM charge  la  politique du  service spcifi  et
      construit  les  quatre  chanes   de  module  (une  pour  chaque
      mcanisme). Si  une ou plusieurs chanes sont  vides, les chanes
      de  la   politique  du  service   <literal>other</literal>  sont
      utilises.</para>

      <para>Plus  tard,  lorsque  l'application  appelle  l'une  des  six
      primitives  PAM,  la  bibliothque  PAM rcupre  la  chane  du
      mcanisme  correspondant et  appelle la  fonction  approprie avec
      chaque  module list dans  la chane.  Aprs chaque  appel d'une
      fonction  de service,  le type  du  module et  le code  d'erreur
      sont retourns par  celle-ci pour  dterminer quoi faire.   quelques
      exceptions  prs,  dont  nous  parlerons  plus  tard,  la  table
      suivante s'applique:</para>

      <table>
	<title>Rsum de la chane d'excution PAM </title>
	<tgroup cols="4">
	  <colspec colwidth="1*" colname="type"/>
	  <colspec colwidth="1*" colname="success"/>
	  <colspec colwidth="1*" colname="ignore"/>
	  <colspec colwidth="1*" colname="other"/>
	  <thead>
	    <row>
	      <entry colname="type"></entry>
	      <entry colname="success"><literal>PAM_SUCCESS</literal></entry>
	      <entry colname="ignore"><literal>PAM_IGNORE</literal></entry>
	      <entry colname="other"><literal>other</literal></entry>
	   </row>
	  </thead>
	  <tbody>
	    <row>
	      <entry colname="type">binding</entry>
	      <entry colname="success">if (!fail) break;</entry>
	      <entry colname="ignore">-</entry>
	      <entry colname="other">fail = true;</entry>
	    </row>
	    <row>
	      <entry colname="type">required</entry>
	      <entry colname="success">-</entry>
	      <entry colname="ignore">-</entry>
	      <entry colname="other">fail = true;</entry>
	    </row>
	    <row>
	      <entry colname="type">requisite</entry>
	      <entry colname="success">-</entry>
	      <entry colname="ignore">-</entry>
	      <entry colname="other">fail = true; break;</entry>
	    </row>
	    <row>
	      <entry colname="type">sufficient</entry>
	      <entry colname="success">if (!fail) break;</entry>
	      <entry colname="ignore">-</entry>
	      <entry colname="other">-</entry>
	    </row>
	    <row>
	      <entry colname="type">optional</entry>
	      <entry colname="success">-</entry>
	      <entry colname="ignore">-</entry>
	      <entry colname="other">-</entry>
	    </row>
	  </tbody>
	</tgroup>
      </table>

      <para>Si <varname>fail</varname> est vrai &agrave; la fin de la chane,
      ou  lorsqu'un <quote>break</quote>  est atteint,  le dispatcheur
      retourne le  code d'erreur renvoy  par le premier module  qui a
      chou.     Autrement     <literal>PAM_SUCCESS</literal>     est
      retourn.</para>

      <para>La   premire   exception  est   que   le  code   d'erreur
      <literal>PAM_NEW_AUTHOK_REQD</literal>  soit considr  comme un
      succs, sauf si  aucun module n'choue et qu'au  moins un module
      retourne  <literal>PAM_NEW_AUTHOK_REQD</literal>  le dispatcheur
      retournera <literal>PAM_NEW_AUTHOK_REQD</literal>.</para>

     <para>La seconde exception  est que &man.pam.setcred.3; considre
     les         modules         <literal>binding</literal>         et
     <literal>sufficient</literal>       comme      s'ils      taient
     <literal>required</literal>.</para>

      <para>La    troisime   et    dernire    exception   est    que
      &man.pam.chauthtok.3; excute la totalit de la chane deux fois
      (la premire pour des vrifications prliminaires et la deuxime
      pour mettre le  mot de passe) et lors  de la premire excution
      il    considre   les   modules    <literal>binding</literal>   et
      <literal>sufficient</literal>      comme      s'ils      taient
      <literal>required</literal>.</para>

    </section>
  </section>

  <section id="pam-freebsd-modules">
    <title id="pam-freebsd-modules.title">Les modules PAM de FreeBSD</title>

    <section id="pam-modules-deny">
      <title id="pam-modules-deny.title">&man.pam.deny.8;</title>

      <para>Le module &man.pam.deny.8; est l'un des modules disponibles
      les  plus simples;  il rpond  &agrave; n'importe  qu'elle  requte par
      <literal>PAM_AUTH_ERR</literal>.  Il est  utile  pour dsactiver
      rapidement un service (ajoutez-le au dbut de chaque chane), ou
      pour       terminer      les       chanes       de      modules
      <literal>sufficient</literal>.</para>
    </section>

    <section id="pam-modules-echo">
      <title id="pam-modules-echo.title">&man.pam.echo.8;</title>

      <para>Le module &man.pam.echo.8;  passe simplement ses arguments
      &agrave;    la   fonction    de   conversation    comme    un   message
      <literal>PAM_TEXT_INFO</literal>. Il est principalement utilis
      pour  le debogage  mais  il  peut aussi  servir  &agrave; afficher  un
      message    tel   que    <quote>Les    accs   illgaux    seront
      poursuivits</quote>    avant    de    commencer   la    procdure
      d'authentification.</para>
    </section>

    <section id="pam-modules-exec">
      <title id="pam-modules-exec.title">&man.pam.exec.8;</title>

      <para>Le module &man.pam.exec.8; prend comme premier argument le
      nom  du programme  &agrave; excuter, les arguments  restant tant
      utiliss   comme  arguments   pour  ce   programme.   L'une  des
      applications possibles est d'utiliser un programme  qui monte le
      rpertoire de l'utilisateur lors du login.</para>
    </section>

    <section id="pam-modules-ftp">
      <title id="pam-modules-ftp.title">pam_ftp(8)</title>

      <para>Le module pam_ftp(8)</para>
    </section>

    <section id="pam-modules-ftpusers">
      <title id="pam-modules-ftpusers.title">&man.pam.ftpusers.8;</title>

      <para>Le module &man.pam.ftpusers.8;</para>
    </section>

    <section id="pam-modules-group">
      <title id="pam-modules-group.title">&man.pam.group.8;</title>

      <para>Le   module  &man.pam.group.8;   accepte  ou   rejette  le
      demandeur &agrave;  partir de son appartenance &agrave;  un groupe particulier
      (gnralement  <literal>wheel</literal> pour  &man.su.1;).  Il a
      pour but  premier de  conserver le comportement  traditionnel de
      &man.su.1; mais possde  d'autres applications comme par exemple
      exclure   un   certain   groupe   d'utilisateurs   d'un   service
      particulier.</para>

    </section>

    <section id="pam-modules-krb5">
      <title id="pam-modules-krb5.title">&man.pam.krb5.8;</title>

      <para>Le module &man.pam.krb5.8; </para>
    </section>

    <section id="pam-modules-ksu">
      <title id="pam-modules-ksu.title">&man.pam.ksu.8;</title>

      <para>Le module &man.pam.ksu.8; </para>
    </section>

    <section id="pam-modules-lastlog">
      <title id="pam-modules-lastlog.title">&man.pam.lastlog.8;</title>

      <para>Le module &man.pam.lastlog.8; </para>
    </section>

    <section id="pam-modules-login-access">
      <title id="pam-modules-login-access.title">&man.pam.login.access.8;</title>

      <para>Le module  &man.pam.login.access.8; </para>
    </section>

    <section id="pam-modules-nologin">
      <title id="pam-modules-nologin.title">&man.pam.nologin.8;</title>

      <para>Le module &man.pam.nologin.8; </para>
    </section>

    <section id="pam-modules-opie">
      <title id="pam-modules-opie.title">&man.pam.opie.8;</title>

      <para>Le   module   &man.pam.opie.8;   implmente   la   mthode
      d'authentification &man.opie.4;. Le  systme &man.opie.4; est un
      mcanisme  de challenge-response o  la rponse  &agrave; chaque
      challenge est une fonction directe  du challenge et une phrase de
      passe, ainsi la rponse  peut facilement tre calcule <quote>en
      temps  voulu</quote> par  n'importe qui  possdant la  phrase de
      passe ce qui limine le besoin  d'une liste de mots de passe. De
      plus, puisque  &man.opie.4; ne rutilise  jamais un mot  de passe
      qui a  reu une  rponse correcte, il  n'est pas  vulnrable aux
      attaques base sur le rejouage.</para>
    </section>

    <section id="pam-modules-opieaccess">
      <title id="pam-modules-opieaccess.title">&man.pam.opieaccess.8;</title>

      <para>Le  module  &man.pam.opieaccess.8;  est  un  compagnon  du
      module   &man.pam.opie.8;.  Son   but  est   de   renforcer  les
      restrictions  codifies  dans  &man.opieaccess.5;, il  rgule  les
      conditions  sous  lesquelles   un  utilisateur  qui  normalement
      devrait s'authentifier  par &man.opie.4; est  amen &agrave; utiliser
      d'autres mthodes. Ceci  est gnralement utilis pour interdire
      l'authentification par  mot de passe depuis des  htes non digne
      de confiance.</para>

      <para>Pour     tre    rellement     effectif,     le    module
      &man.pam.opieaccess.8;      doit      tre      list      comme
      <literal>requisite</literal>  immdiatement   aprs  une  entre
      <literal>sufficient</literal>  pour  &man.pam.opie.8; et  avant
      tout       autre        module,       dans       la       chane
      <literal>auth</literal>.</para>

    </section>

    <section id="pam-modules-passwdqc">
      <title id="pam-modules-passwdqc.title">&man.pam.passwdqc.8;</title>

      <para>Le module  &man.pam.passwdqc.8; </para>
    </section>

    <section id="pam-modules-permit">
      <title id="pam-modules-permit.title">&man.pam.permit.8;</title>

      <para>Le   module  &man.pam.permit.8;   est  l'un   des  modules
      disponibles  les  plus simples;  il  rpond  &agrave; n'importe  quelle
      requte  par <literal>PAM_SUCCESS</literal>.  Il est  utile pour
      les  services  o   une  ou  plusieurs  chanes  auraient
      autrement t vides.</para>
    </section>

    <section id="pam-modules-radius">
      <title id="pam-modules-radius.title">&man.pam.radius.8;</title>

      <para>Le module &man.pam.radius.8; </para>
    </section>

    <section id="pam-modules-rhosts">
      <title id="pam-modules-rhosts.title">&man.pam.rhosts.8;</title>

      <para>Le module &man.pam.rhosts.8; </para>
    </section>

    <section id="pam-modules-rootok">
      <title id="pam-modules-rootok.title">&man.pam.rootok.8;</title>

      <para>Le  module  &man.pam.rootok.8; retourne  un  succs si  et
      seulement  si  l'identifiant  d'utilisateur  rel  du  processus
      appelant est 0. Ceci est utile pour les services non bass sur
      le  rseau  tel   que  &man.su.1;  ou  &man.passwd.1;  o
      l'utilisateur   <literal>root</literal>  doit  avoir   un  accs
      automatique.</para>
    </section>

    <section id="pam-modules-securetty">
      <title id="pam-modules-securetty.title">&man.pam.securetty.8;</title>

      <para>Le module &man.pam.securetty.8; </para>
    </section>

    <section id="pam-modules-self">
      <title id="pam-modules-self.title">&man.pam.self.8;</title>

      <para>Le  module  &man.pam.self.8;  retourne  un  succs  si  et
      seulement si  le nom  du demandeur correspond  au nom  du compte
      dsir. Il est  utile pour les services non  bass sur le rseau
      tel que  &man.su.1; o l'identit du  demandeur peut tre
      vrifie facilement .</para>
    </section>

    <section id="pam-modules-ssh">
      <title id="pam-modules-ssh.title">&man.pam.ssh.8;</title>

      <para>Le module  &man.pam.ssh.8; </para>
    </section>

    <section id="pam-modules-tacplus">
      <title id="pam-modules-tacplus.title">&man.pam.tacplus.8;</title>

      <para>Le module  &man.pam.tacplus.8; </para>
    </section>

    <section id="pam-modules-unix">
      <title id="pam-modules-unix.title">&man.pam.unix.8;</title>

      <para>Le  module &man.pam.unix.8;  implmente l'authentification
      Unix   traditionnelle    par   mot   de    passe,   il   utilise
      &man.getpwnam.3; pour obtenir le mot  de passe du compte vis et
      le compare avec celui fournit par le demandeur. Il fournit aussi
      des services  de gestion de  compte (dsactivation du  compte et
      date d'expiration) ainsi que  des services pour le changement de
      mot de passe. Il s'agit certainement du module le plus utile car
      la plupart  des administrateurs dsirent  garder le comportement
      historique pour quelques services.</para>
    </section>
  </section>

  <section id="pam-appl-prog">
    <title id="pam-appl-prog.title">Programmation d'applications PAM </title>

    <para><!--XXX-->Cette section n'a pas encore t crite.</para>

    <!--

      Note that while the original PAM paper includes a sample PAM
      application that calls pam_open_session() before pam_setcred(),
      the Linux-PAM documentation states that pam_setcred() must be
      called first, which makes more sense.

      Also note that the example in the paper calls setgid(),
      initgroups() and setuid() itself rather than rely on
      pam_setcred() to do it.

      -->

  </section>

  <section id="pam-module-prog">
    <title id="pam-module-prog.title">Programmation de modules PAM</title>

    <para><!--XXX-->Cette section n'a pas t encore crite.</para>
  </section>

  <appendix id="pam-sample-appl">
    <title id="pam-sample-appl.title">Exemples d'application PAM </title>

    <para>Ce qui suit est une implmentation minimale de &man.su.1; en
    utilisant PAM.  Notez qu'elle utilise la  fonction de conversation
    &man.openpam.ttyconv.3;  spcifique &agrave;  OpenPAM qui  est prototype
    dans                                                      <filename
    class="headerfile">security/openpam.h</filename>.  Si vous dsirez
    construire  cette   application  sur  un   systme  utilisant  une
    bibliothque  PAM  diffrente  vous  devrez fournir  votre  propre
    fonction de conversation. Une fonction de conversation robuste est
    tonnamment   difficile  &agrave;   implmenter;  celle   prsente  dans
    <xref                          linkend="pam-sample-conv"/>
    est  un  bon   point  de
    dpart, mais  ne devrait pas  tre utilise dans  des applications
    relles.</para>

<programlisting>
<xi:include href="su.c" parse="text"/>
</programlisting>
  </appendix>

  <appendix id="pam-sample-module">
    <title id="pam-sample-module.title">Exemple d'un module PAM</title>

    <para>Ce   qui   suit   est   une   implmentation   minimale   de
    &man.pam.unix.8;      offrant     uniquement      les     services
    d'authentification.  Elle  devrait  compiler  et tourner  avec  la
    plupart  des implmentations  PAM, mais  tire parti  des extensions
    d'OpenPAM  si  elles  sont  disponibles :  notez  l'utilisation  de
    &man.pam.get.authtok.3;  qui simplifie  normment  l'affichage de
    l'invite pour demander le mot de passe &agrave; l'utilisateur.</para>


<programlisting>
<xi:include href="pam_unix.c" parse="text"/>
</programlisting>
  </appendix>

  <appendix id="pam-sample-conv">
    <title id="pam-sample-conv.title">Exemple d'une fonction de conversation PAM</title>

    <para>La  fonction  de conversation  prsente  ci-dessous est  une
    version      grandement     simplifie     de      la     fonction
    &man.openpam.ttyconv.3; d'OpenPAM. Elle est pleinement fonctionnelle
    et devrait  donner au  lecteur une bonne  ide de comment  doit se
    comporter une fonction de  conversation, mais elle est trop simple
    pour une utilisation relle.  Mme si vous n'utilisez pas OpenPAM,
    N'hsitez pas &agrave;  tlcharger le  code  source et  d'adapter
    &man.openpam.ttyconv.3;  &agrave; vos besoins,  nous pensons  qu'elle est
    raisonnablement  aussi  robuste  qu'une fonction  de  conversation
    oriente tty peut l'tre.</para>

<programlisting>
<xi:include href="converse.c" parse="text"/>
</programlisting>
  </appendix>

  <bibliography id="pam-further">
    <title id="pam-further.title">Lectures complmentaires</title>

    <abstract>
      <para>Ceci  est une  liste  de documents  concernant  PAM et  les
      domaines  gravitant autours.   Elle    n'a   pas   la   prtention   d'tre
      complte.</para>
    </abstract>

    <bibliodiv>
      <title>Publications</title>

      <biblioentry>
	<title><ulink
	  url="http://www.sun.com/software/solaris/pam/pam.external.pdf">
	  Rendre les services de connexion indpendants des technologies d'authentification
	  </ulink></title>
	<authorgroup>
	  <author>
	    <surname>Samar</surname>
	    <firstname>Vipin</firstname>
	  </author>
	  <author>
	    <surname>Lai</surname>
	    <firstname>Charlie</firstname>
	  </author>
	</authorgroup>
	<orgname>Sun Microsystems</orgname>
      </biblioentry>

      <biblioentry>
	<title><ulink
	  url="http://www.opengroup.org/pubs/catalog/p702.htm">X/Open
	  Single Sign-on Preliminary Specification</ulink></title>
	<orgname>The Open Group</orgname>
	<isbn>1-85912-144-6</isbn>
	<pubdate>June 1997</pubdate>
      </biblioentry>

      <biblioentry>
	<title><ulink
	  url="http://www.kernel.org/pub/linux/libs/pam/pre/doc/current-draft.txt">
	  Pluggable Authentication Modules</ulink></title>
	<author>
	  <surname>Morgan</surname>
	  <firstname>Andrew</firstname>
	  <othername role="mi">G.</othername>
	</author>
	<pubdate>October 6, 1999</pubdate>
      </biblioentry>
    </bibliodiv>

    <bibliodiv>
      <title>Guides utilisateur</title>

      <biblioentry>
	<title><ulink
	  url="http://www.sun.com/software/solaris/pam/pam.admin.pdf">Administration de PAM
	 </ulink></title>
	<orgname>Sun Microsystems</orgname>
      </biblioentry>
    </bibliodiv>

    <bibliodiv>
      <title>Page internet lies</title>

      <biblioentry>
	<title><ulink url="http://openpam.sourceforge.net/">La page d'OpenPAM</ulink></title>
	<author>
	  <surname>Sm&oslash;rgrav</surname>
	  <firstname>Dag-Erling</firstname>
	</author>
	<orgname>ThinkSec AS</orgname>
      </biblioentry>

      <biblioentry>
	<title><ulink url="http://www.kernel.org/pub/linux/libs/pam/">La page de Linux-PAM</ulink></title>
	<author>
	  <surname>Morgan</surname>
	  <firstname>Andrew</firstname>
	  <othername role="mi">G.</othername>
	</author>
      </biblioentry>

      <biblioentry>
	<title><ulink url="http://wwws.sun.com/software/solaris/pam/">La page de Solaris PAM</ulink></title>
	<orgname>Sun Microsystems</orgname>
      </biblioentry>
    </bibliodiv>
  </bibliography>
</article>