トップ 一覧 置換 検索 ヘルプ RSS ログイン

PAMによる認証の仕組みの変更点

  • 追加された行はこのように表示されます。
  • 削除された行はこのように表示されます。
http://d.hatena.ne.jp/int128/20090726/1248622071

!!設定
/etc/pam.d以下にあるファイルは下記の書式になっています。
 タイプ コントロールフラグ モジュール [オプション]
タイプは4種類あります。
,,
,auth,認証を許可するかどうかです。ユーザが本物であるかを、パスワードなどの入力によって確認をします。また認証方法を変更することも可能です。
,account,パスワードの有効期間や認証時の時間などでアカウントの有効性をチェックします。authとセットで使用されます。
,password,認証方法を変更するメカニズムを提供します。通常はパスワードの設定/変更する場合です。
,session,ユーザの認証前または認証後で実行することを指定します。 ユーザディレクトリのマウントやアンマウント、ログインやログアウト時のログ記録、ユーザが利用できるサービスの制限、といったことが含まれます。


コントロールフラグは4種類が定義されています。自分で細かい条件を設定することも可能です。
コントロールフラグは PAM モジュールが「成功」「失敗」のステータスを返した時にどのような処理を行なうかを指定します。基本は required, requisite, sufficient, optional の四種類です。
,,
,required{{br}}(必要条件),そのモジュールから成功のステータスが返る事を要求します。required となっているモジュールが失敗のステータスを返すと他のモジュールの処理の結果にかかわらずログインに失敗します。ただし、処理は打ち切られる事なく次のモジュールに進みます。
,requisite{{br}}(必須条件),required と似ていますが、requisite となっているモジュールが失敗するとその時点でそのモジュールタイプの処理は打ち切られます。
,sufficient{{br}}(充分条件),	sufficient となっているモジュールが成功のステータスを返すと、既に required のモジュールのどれかが失敗していない限り、そのモジュールタイプの処理は成功と見なされ、以降のモジュールは処理されません。
,optional{{br}}(オプション),optional とされているモジュールは通常はそのステータスを無視されます。しかし、他のモジュールが全て「無視」のステータスを返した場合、optional のモジュールのステータスが使われます。
{{category2 OS,Linux}}