blob: 2edcce772e9535a905fa97a8047c63c5a7d7251e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
|
.\" Hey Emacs! This file is -*- nroff -*- source.
.\" %Id: pam.8,v 1.2 1997/02/15 18:37:27 morgan Exp %
.\" Copyright (c) Andrew G. Morgan 1996-7 <morgan@linux.kernel.org>
.\" jpman %Id: pam.8,v 1.3 1999/02/11 09:24:24 kuma Stab %
.TH PAM 8 "1997 Feb 9" "PAM 0.56" "PAM Manual"
.SH 名称
PAM \- プラグ可能認証モジュール群
.SH 書式
.B /etc/pam.conf
.sp 2
.SH 解説
本マニュアルの目的は、
.B PAM
のクイックイントロダクションです。
更なる情報は、
.B "Linux-PAM system administrators' guide"
を御覧ください。
.sp
.BR PAM
は、システム上でアプリケーション (サービス) の認証作業を行う
ライブラリシステムです。
本ライブラリは、
一般的な不変のインタフェース
(アプリケーションプログラミングインタフェース - API) を提供します。
.RB ( login "(1) "
や
.BR su "(1) のような) "
特権許可プログラム
がこの API に従うことで、
標準の認証作業を遂行するようになります。
.sp
PAM アプローチの基本的な特徴は、認証作業の性質を動的に設定可能とすることです。
言い換えると、個々のサービス提供アプリケーションがユーザを認証する方法を、
システム管理者は自由に選択できます。
この動的設定は、単一の
.BR PAM
設定ファイル
.BR /etc/pam.conf
の内容で設定されます。
また、ディレクトリ
.B /etc/pam.d/
に個々の設定ファイルを置くことで、設定を行うこともできます。
.IB "このディレクトリがあると " PAM " は "
.BI /etc/pam.conf " を無視します。"
.sp
このマニュアルが対象とするシステム管理者にとっては、
.BR PAM
ライブラリの内部動作を理解することは最重要ではありません。
理解すべき重要なことは、設定ファイルがアプリケーション
.RB ( サービス )
と実際に認証作業を行うプラグ可能認証モジュール
.RB ( PAM )
との間の接続を
.I 定義する
ことです。
.sp
.BR PAM
は、
.I 認証
作業を次の 4 個の独立した管理グループに分割します:
.BR "account" " management (アカウント管理); "
.BR "auth" "entication management (認証管理); "
.BR "password" " management (パスワード管理); "
.BR "session" " management (セッション管理)。"
(設定ファイルでグループを表すために使用する短縮形を目立たさせています。)
.sp
簡単に言うと、これらのグループは、
それぞれ、
ある制限されたサービスに対する典型的なユーザ要求が持つ、異なった側面の
面倒をみています。
.sp
.BR account " - "
アカウント証明型のサービスを提供します。
「ユーザのパスワードが期限切れになったか?」
「このユーザは、要求するサービスにアクセスを許されているか?」
といった事柄を扱います。
.br
.BR auth "entication - "
ユーザが名乗っている人物本人であることを確定します。
この確定は、通常は、ユーザが満すべき「挑戦 - 応答」の要求で実現されます。
例えば「あなたが名乗っているその人本人であるなら、
あなたのパスワードを入力してください。」が該当します。
全部の認証がこの型であるわけではなく、
(スマートカードや生物測定学デバイスなどを使用する)
ハードウェアベースの認証方法があり、
適切なモジュールを使用することで、
より標準的な認証アプローチをシームレスに置き換え可能です -
これが
.BR PAM
の柔軟性です。
.br
.BR password " - "
このグループの責任は、認証機構を更新することです。
このようなサービスは
.BR auth
グループのサービスと強く結び付いているのが普通です。
認証機構によっては、自己の更新をこの機能に任せているものがあります。
標準の UN*X のパスワードベースのアクセスは、明らかな例です。
「代わりのパスワードを入力してください。」がこれに該当します。
.br
.BR session " - "
このグループの仕事は、サービス提供の前後に実行されるべきことをカバーします。
このような作業には、認証記録の維持と、
ユーザのホームディレクトリのマウントが含まれます。
開始時と終了時に
ユーザが利用可能なサービスに影響を与える
モジュールへのフックを提供するので、
.BR session
管理グループは重要です。
.SH 設定ファイル
.BR PAM
を意識した特権許可アプリケーションは、
開始時に PAM-API への取り付けを起動します。
この起動により多くの作業が行われますが、
最重要事項は設定ファイル
.BR /etc/pam.conf
の読み込みです。
これは、
.BR /etc/pam.d/
ディレクトリの内容であることもあります。
これらのファイルは、このサービスが要求する認証作業を行う
.BR PAM
の一覧と、個々の
.BR PAM
が失敗したときの PAM-API の適切な動作の一覧をリストします。
.sp
.B /etc/pam.conf
設定ファイルの文法は次の通りです。
ファイルはルールのリストから構成されます。
個々のルールは普通は単一行ですが、
`\\<LF>' で行末をエスケープすることで複数行に渡ることが可能です。
コメントは、前に `#' マークを置き、行末まで続きます。
.sp
各ルールは、空白で区切ったトークンの集合です。
最初の 3 つは大文字小文字を区別します:
.sp
.br
.BR " service type control module-path module-arguments"
.sp
.B /etc/pam.d/
ディレクトリ中のファイルの文法は、
.I service
フィールドが無い以外は同じです。
この場合、
.I service
は
.B /etc/pam.d/
ディレクトリ中のファイルの名前です。
このファイル名は小文字であることが必要です。
.sp
.BR PAM
の重要機能は、
ある認証作業用に多くの PAM のサービスを組合せる目的で、多くのルールを
.I 積み重ね可能
ということです。
.sp
.BR service
は、普通は、対応するアプリケーションの親しみのある名前です。
.BR login
や
.BR su
は良い例です。
.BR service " 名 " other
は
.I デフォルト
ルールを与えるために予約されています。
現在のサービスに関して言及する行のみが
(そのような行が存在しない場合は
.BR other
エントリが)、指定したアプリケーションに関連付けられます。
.sp
.BR type
は、そのルールに対応する管理グループです。
後続するモジュールをどの管理グループに関連付けるべきかを
指定するために使用されます。
有効なエントリは
.BR account "; "
.BR auth "; "
.BR password "; "
.BR session
です。
これらのトークンの意味は前述してあります。
.sp
第 3 のフィールド
.BR control
は、PAM-API がこの認証作業に失敗したときにどうすべきかを示します。
有効な
.BR control
の値は次の通りです。
.BR requisite
- この PAM が失敗すると、認証処理は即ちに終了します;
.BR required
- この PAM が失敗すると、究極的には PAM-API は失敗を返しますが、
それはこの
.RB "(" service
および
.BR type
の) 積み重なっているモジュールの残りが呼び出されたあとです;
.BR sufficient
- この種のモジュールが成功すると、
モジュールの積み重ねの認証条件を満します
(これより前の
.BR required
モジュールが失敗していた場合、このモジュールの成功は
.I 無視
されます);
.BR optional
- この
.BR service "+" type
に関連付けられているモジュールの積み重ねにおける唯一のモジュールである
場合のみ、このモジュールの成否は意味を持ちます。
.sp
.BR module-path
- アプリケーションが使用する PAM の完全なファイル名です。
.sp
.BR module-arguments
- 空白で区切られたトークンのリストであり、
指定した PAM の特定の動作を修正するために使用可能です。
引数については、個々のモジュールについて記述されているでしょう。
.SH 関連ファイル
.BR /etc/pam.conf " - 設定ファイル。"
.br
.BR /etc/pam.d/ " - "
.BR PAM
の設定ディレクトリ。本ディレクトリが存在する場合、
.B /etc/pam.conf
ファイルは無視されます。
.br
.BR /usr/lib/libpam.so.X " - 動的ライブラリ。"
.br
.BR /usr/lib/pam_*.so " - PAM。
.SH エラー
ライブラリの
.BR PAM
システムが発生する典型的なエラーは、
.BR syslog "(3)"
に書き込まれます。
.SH 準拠
DCE-RFC 86.0, October 1995.
.br
現在 DCE-RFC 委員会で検討されている追加機能も含まれています。
.SH バグ
.sp 2
知られているものはありません。
.SH 関連項目
.BR "システム管理者用" "、"
.BR "モジュール開発者用" "、"
.BR "アプリケーション開発者用
の、3 つの
.BR Linux-PAM
ガイド。
|
