A PAM-modulok némelyike konfigurálható. A megfelelő konfigurációs fájlok az /etc/security
könyvtárban találhatók. Az alábbi szakasz röviden leírja az sshd példával kapcsolatos konfigurációs fájlokat – pam_unix2.conf
, pam_env.conf
, pam_pwcheck.conf
és limits.conf
.
A hagyományos, jelszó alapú hitelesítési módszert a pam_unix2
PAM-modul szabályozza. Képes kiolvasni a szükséges adatokat az /etc/passwd
és /etc/shadow
fájlokból, a NIS térképekből, a NIS+ táblázatokból és LDAP-adatbázisokból. A modul viselkedése befolyásolható az egyes alkalmazások PAM-beállításainak módosításával, illetve globálisan, az /etc/security/pam_unix2.conf
fájl szerkesztésével. A 24.6. példa - pam_unix2.conf a modul egy nagyon egyszerű konfigurációs fájlját mutatja be.
Auth
és password
típusú modulok esetén a nullok
paraméter azt határozza meg, hogy a megfelelő típusú fiók üres jelszavakat is használhat. A felhasználók továbbá módosíthatják a fiókokhoz tartozó jelszavakat. A none
paraméter a session
modultípus esetében azt adja meg, hogy semmilyen üzenet nem kerül naplózásra (ez az alapértelmezés). A további beállítási lehetőségek a fájlban található megjegyzésekből, valamint a pam_unix2(8) man oldalból ismerhetők meg.
Ez a fájl használható a felhasználók számára egy szabványosított környezet kialakítására, amely beállításra kerül a pam_env
modul minden egyes meghívásánál. Ebben az esetben az előre beállított környezeti változók a következő szintaxissal adhatók meg:
VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]
VARIABLE
A beállítani kívánt környezeti változó neve.
[DEFAULT=[érték]]
A rendszergazda által beállítani kívánt alapérték.
[OVERRIDE=[érték]]
A pam_env
által lekérdezhető és beállítható, az alapértelmezett értéket felülírható értékek.
Egy igen hétköznapi példa, ahol az alapértelmezett értéket felül kell írnia a pam_env
modulnak, a DISPLAY
változó, amelyik minden egyes távoli bejelentkezéskor módosításra kerül. Lásd: 24.7. példa - pam_env.conf.
24.7. példa - pam_env.conf
REMOTEHOST DEFAULT=localhost OVERRIDE=@{PAM_RHOST} DISPLAY DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}
Az első sor beállítja a REMOTEHOST
változót a localhost
értékre, és ez lesz mindig használva, ha a pam_env
nem tud kideríteni más értéket. A DISPLAY
változó pedig tartalmazza a REMOTEHOST
értékét. A további beállítási lehetőségek az /etc/security/pam_env.conf
fájlban található megjegyzésekből ismerhetők meg.
Ez a pam_pwcheck
modul konfigurációs fájlja, amelyik a password
típusú modulok paramétereit olvassa ki. Az ebben a fájlban tárolt értékek felülbírálják az egyes alkalmazások PAM-beállításait. Ha nincsenek megadva alkalmazásspecifikus beállítások, akkor az alkalmazás a globális beállításokat használja. A 24.8. példa - pam_pwcheck.conf azt mutatja be, amikor a pam_pwcheck
engedi az üres jelszavak használatát és a jelszavak módosítását. A modul további beállítási lehetőségei az /etc/security/pam_pwcheck.conf
fájlban vannak megemlítve.
Rendszerkorlátok egy felhasználóra vagy felhasználói csoportra a limits.conf
fájlban állíthatók be, amelyet a pam_limits
modul olvas ki. A fájlban fix korlátok is beállíthatók (ezeket semmilyen körülmények között nem lehet meghaladni), illetve lágy korlátok, amelyek ideiglenesen túlléphetők. A szintaxis és a rendelkezésre álló paraméterek a fájlban található megjegyzésekből ismerhetők meg.