SUSE Linux Enterprise Desktop dokumentáció
24. fejezet - Hitelesítés PAM használatával / 24.3. A PAM-modulok beállítása
Előző24.2. Az sshd PAM-konfigurációja24.4. További információKövetkező

A PAM-modulok beállításaA PAM-modulok beállítása

A PAM-modulok némelyike konfigurálható. A megfelelő konfigurációs fájlok az /etc/security könyvtárban találhatók. Az alábbi szakasz röviden leírja az sshd példával kapcsolatos konfigurációs fájlokat – pam_unix2.conf, pam_env.conf, pam_pwcheck.conf és limits.conf.

pam_unix2.confpam_unix2.conf

A hagyományos, jelszó alapú hitelesítési módszert a pam_unix2 PAM-modul szabályozza. Képes kiolvasni a szükséges adatokat az /etc/passwd és /etc/shadow fájlokból, a NIS térképekből, a NIS+ táblázatokból és LDAP-adatbázisokból. A modul viselkedése befolyásolható az egyes alkalmazások PAM-beállításainak módosításával, illetve globálisan, az /etc/security/pam_unix2.conf fájl szerkesztésével. A 24.6. példa - pam_unix2.conf a modul egy nagyon egyszerű konfigurációs fájlját mutatja be.

24.6. példa - pam_unix2.conf

auth:   nullok
account:
password:       nullok
session:        none

Auth és password típusú modulok esetén a nullok paraméter azt határozza meg, hogy a megfelelő típusú fiók üres jelszavakat is használhat. A felhasználók továbbá módosíthatják a fiókokhoz tartozó jelszavakat. A none paraméter a session modultípus esetében azt adja meg, hogy semmilyen üzenet nem kerül naplózásra (ez az alapértelmezés). A további beállítási lehetőségek a fájlban található megjegyzésekből, valamint a pam_unix2(8) man oldalból ismerhetők meg.

pam_env.confpam_env.conf

Ez a fájl használható a felhasználók számára egy szabványosított környezet kialakítására, amely beállításra kerül a pam_env modul minden egyes meghívásánál. Ebben az esetben az előre beállított környezeti változók a következő szintaxissal adhatók meg: 

VARIABLE  [DEFAULT=[value]]  [OVERRIDE=[value]]
VARIABLE

A beállítani kívánt környezeti változó neve.

[DEFAULT=[érték]]

A rendszergazda által beállítani kívánt alapérték.

[OVERRIDE=[érték]]

A pam_env által lekérdezhető és beállítható, az alapértelmezett értéket felülírható értékek.

Egy igen hétköznapi példa, ahol az alapértelmezett értéket felül kell írnia a pam_env modulnak, a DISPLAY változó, amelyik minden egyes távoli bejelentkezéskor módosításra kerül. Lásd: 24.7. példa - pam_env.conf.

24.7. példa - pam_env.conf

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

Az első sor beállítja a REMOTEHOST változót a localhost értékre, és ez lesz mindig használva, ha a pam_env nem tud kideríteni más értéket. A DISPLAY változó pedig tartalmazza a REMOTEHOST értékét. A további beállítási lehetőségek az /etc/security/pam_env.conf fájlban található megjegyzésekből ismerhetők meg.

pam_pwcheck.confpam_pwcheck.conf

Ez a pam_pwcheck modul konfigurációs fájlja, amelyik a password típusú modulok paramétereit olvassa ki. Az ebben a fájlban tárolt értékek felülbírálják az egyes alkalmazások PAM-beállításait. Ha nincsenek megadva alkalmazásspecifikus beállítások, akkor az alkalmazás a globális beállításokat használja. A 24.8. példa - pam_pwcheck.conf azt mutatja be, amikor a pam_pwcheck engedi az üres jelszavak használatát és a jelszavak módosítását. A modul további beállítási lehetőségei az /etc/security/pam_pwcheck.conf fájlban vannak megemlítve.

24.8. példa - pam_pwcheck.conf

password:    nullok

limits.conflimits.conf

Rendszerkorlátok egy felhasználóra vagy felhasználói csoportra a limits.conf fájlban állíthatók be, amelyet a pam_limits modul olvas ki. A fájlban fix korlátok is beállíthatók (ezeket semmilyen körülmények között nem lehet meghaladni), illetve lágy korlátok, amelyek ideiglenesen túlléphetők. A szintaxis és a rendelkezésre álló paraméterek a fájlban található megjegyzésekből ismerhetők meg.

Előző24.2. Az sshd PAM-konfigurációjaTartalom24.4. További információKövetkező