Pam
De Linuxmemo.
Sommaire |
Pile de liste de règles
[Groupe de gestion] [Contrôle porté] [Modules]
auth required pam_env.so auth sufficient pam_unix.so auth requisite pam_deny.so
Groupe de gestion
Définit un segment de la tâche d'authentification :
auth - Vérification de l'identité d'un utilisateur et mise en place des accréditations associées. account - Vérification du compte d'un utilisateur (expiration, plannings, etc.). password - Vérification de la validité des mots de passes lorsqu'ils sont assignés à un utilisateur. session - Vérification de la session d'un utilisateur, de son dossier de travail, etc.
Contrôle porté (par la règle)
required - Tous les modules utilisant ce contrôle doivent passer avec succès pour que la vérification soit accordée. Le cas échéant l'utilisateur n'est averti qu'à la fin du traitement de la pile. requisite - La même chose que required sauf que l'utilisateur est averti tout de suite. optionnal - L'échec ou le succès de ce module importe peu et ne peut faire échouer la vérification. sufficient - S'il réussi et qu'il n'y a pas de required en échec, le traitement s'arrête là. Le reste de la pile n'est alors pas traité.
include - Cette commande demande à PAM de remplacer la règle courante par la pile de même groupe de gestion contenue dans le service en paramètre. Un exemple classique est auth include system-auth. Vu qu'il s'agit d'un simple remplacement, on comprend bien que tous les contrôles s'appliquent et que si les règles de la pile incluse provoquent un échec, la pile qui contient la règle include ... va récupérer cet échec pour elle. substack - Le comportement est à peu prés le même que pour include sauf que là les lignes ne sont pas incluses, le service est appelé. Cela implique qu'en cas d'échec dans la sous-pile, la pile principale poursuit son traitement.
Modules
http://www.linux-pam.org/Linux-PAM-html/sag-module-reference.html
