Для пользователей Linux безопасное предоставление общего доступа к файлам является достаточно трудоемкой задачей. В частности, она порождает необходимость запоминать множество паролей и требует больших затрат времени на модификацию приложений системного доступа (таких как login, su, password, ftp и т. п.). Дело усложняется тем, что это процесс аутентификации, во время которого система идентифицирует пользователя и предоставляет ему соответствующий доступ.

История использования PAM

PAM – это набор API для аутентификации пользователей. До появления PAM такие приложения, как login (а также rlogin, telnet, rsh), искали имя пользователя в файле /etc/passwd, сравнивали оба значения и выполняли аутентификацию пользователя по введенному им имени. Все приложения использовали эти общие службы, хотя детали реализации и полномочия для их настройки различались.

Затем разработчики приложений попытались создавать собственные процессы. Для этого понадобилось разделить модули приложения и безопасности (общий модуль безопасности мог использоваться всеми приложениями и настраиваться как необходимо).

Механизм PAM объединяет множество низкоуровневых схем аутентификации в API высокого уровня, позволяющий создавать приложения, использующие аутентификацию независимо от применяемой схемы аутентификации. Принципиальным свойством PAM является динамическая настройка аутентификации при помощи файла /etc/pam.d или /etc/pam.conf.

PAM можно настроить так, чтобы запретить отдельным программам аутентифицировать пользователей и уведомлять, когда они пытаются выполнить аутентификацию. PAM-программы используют модули PAM (модули аутентификации), которые для использования подключаются к приложениям во время работы.

На рисунке 1 показаны основные этапы работы модуля PAM.

Операционные системы, поддерживающие PAM

PAM был разработан Sun Microsystems в 1995 году и поддерживается следующими версиями операционных систем (и более новыми):

• RedHat 5.0
• SUSE 6.2
• Debian 2.2
• Mandrake 5.2
• Caldera 1.3
• TurboLinux 3.6

Также PAM поддерживается новыми версиями Solaris™, AIX®, HP-UX и Mac OS® X. Позже PAM был стандартизирован в рамках процесса стандартизации X/Open UNIX® (в составе архитектуры службы X/Open single sign-on (XSSO)).

Реализации PAM

Хотя строгая классификация отсутствует, можно сказать, что существует три реализации PAM:

1. Linux-PAM: охватывает все типы PAM, обсуждаемые в этой статье. Основная архитектура PAM на любой платформе Linux подобна версии Linux-PAM.
2. OpenPAM - другая реализация PAM, разработанная Дагом-Эрлингом Сморгравом (Dag-Erling Smorgrav) в NAI Labs, в рамках программы исследований DARPA-CHATS. Поскольку это реализация с открытым кодом, она в основном используется во FreeBSD, NetBSD и приложениях (а также в Mac OS X).
3. Java™ PAM или JPam: PAM – это фактически стандартные модули аутентификации с поддержкой Linux и UNIX. JPam выступает в качестве моста между кодом Java и обычными PAM. При помощи JPam приложения на Java могут использовать модули PAM и связанные с ними средства (такие как auth, account, passwd, session, и т. п.).

Несмотря на существование различных реализаций PAM их основная функциональность остается одинаковой.

Из чего состоят модули PAM?

Установка PAM состоит из нескольких шагов. Инструкции по установке см. в разделе Ресурсы.

Модули PAM классифицируются по типу модуля. Каждый модуль должен выполнять функции хотя бы одного из четырех типов:

1. Модуль аутентификации используется для аутентификации пользователей или создания и удаления учетных данных.
2. Модуль управления учетными записями выполняет действия, связанные с доступом, истечением учетных данных или записей, правилами и ограничениями для паролей и т. д.
3. Модуль управления сеансами используется для создания и завершения сеансов.
4. Модуль управления паролями выполняет действия, связанные с изменением и обновлением пароля.

PAM обеспечивает различные функциональные возможности, такие как: аутентификация с однократной регистрацией, управление доступом и другие. Их реализация обеспечивается различными модулями:

• pam_access обеспечивает управление входом в систему в виде протоколируемой службы при помощи имени пользователя и домена в зависимости от правил, указанных заранее в файле /etc/security/access.conf.
• pam_cracklib проверяет пароли на соответствие правилам для паролей.
• pam_env sets/unsets устанавливает и сбрасывает переменные среды из файла /etc/security/pam_env_conf.
• pam_debug выполняет отладку PAM.
• pam_deny блокирует модули PAM.
• pam_echo выводит сообщения.
• pam_exec выполняет внешнюю команду.
• pam_ftp модуль для анонимного доступа.
• pam_localuser проверяет наличие имени пользователя в файле /etc/passwd.
• pam_unix выполняет обычную аутентификацию на основе пароля из файла /etc/passwd.

Существует множество других модулей (pam_userdb, pam_warn, pam_xauth), ), перехватывающих набор возвращаемых значений. Подробную информацию об этих модулях можно найти в Руководстве по администрированию PAM в разделе Ресурсы.

В начало

Настройка PAM

Настройки PAM в основном сосредоточены в файле /etc/pam.d или /etc/pam.conf (для старых версий).

Структура файла конфигурации

Для каждой службы, использующей PAM, в каталоге создается соответствующий файл, содержащий правила и инструкции о том, какая информация об аутентификации или учетной записи должна быть предоставлена для этой службы. Обычно каждая строка содержит одно правило.

Поля файла конфигурации PAM содержат следующую информацию:

• Service_name указывает название службы или приложения. По умолчанию – OTHER.
• Module_type указывает тип модуля (auth/account/session/passwd) для соответствующей службы, указанной в поле Service_name.
• Control_flag указывает дополнительное свойство для модуля. Оно может принимать следующие значения: requisite (необходимый), required (требуемый), sufficient (достаточный) и optional (необязательный).
• Module_path указывает путь к объекту библиотеки, использующемуся в модуле. По умолчанию он имеет значение /lib/security.
• Module_options/module_args (дополнительные поля) указывает параметры или аргументы, которые могут быть переданы модулям службы.

Модули вызываются в том порядке, в котором они указаны в файле конфигурации, в зависимости от значения поля Control_flag (Управляющий флаг) для каждого модуля. Поле Control_flag принимает следующие значения:

• required (требуемый): все требуемые модули в стеке должны вернуть положительный ответ. Если один или несколько требуемых модулей вернут отрицательный ответ, все требуемые модули будут выполнены, но запрос будет отвергнут.
• sufficient (достаточный): если модуль помечен как достаточный и перед ним ни один из необходимых или достаточных модулей не возвратил отрицательного ответа, то все оставшиеся модули в стеке игнорируются, и возвращается положительный ответ.
• optional (дополнительный): если в стеке нет требуемых модулей и ни один из достаточных модулей не возвратил положительного ответа, то хотя бы один из дополнительных модулей приложения или службы должен вернуть положительный ответ.

Примеры конфигурационных файлов PAM

В таблице 1 приведены сведения о конфигурационных файлах PAM для различных операционных систем:

Файл политик PAM «other»

Файл конфигурации политик PAM /etc/pam.d используется для указания модулей аутентификации по умолчанию, то есть для тех приложений, о которых в файле конфигурации ничего не сказано явным образом. Он, вероятно, является самым простым и надежным файлом конфигурации PAM по умолчанию. Внутри этого файла мы можем увидеть что-то подобное:

/etc/pam.d/other File

auth        required     pam_warn.so
auth        required     pam_deny.so
account     required     pam_warn.so
account     required     pam_deny.so
password    required     pam_warn.so
password    required     pam_deny.so
session     required     pam_warn.so
session     required     pam_deny.so

Этот файл устроен очень просто. Для всех типов модулей указано одинаковое значение Control_flag – required. Вызывается два модуля:

1. Вначале вызывается pam_warn.so для записи информации о текущей попытке аутентификации.
2. Затем вызывается pam_deny.so, который просто возвращает отказ и запрещает все типы подключения или аутентификации.

Таким образом, все службы, использующие PAM, должны быть явно настроены для разрешения аутентификации, иначе попытки будут отвергнуты.

10 шагов для создания простого PAM-приложения входа в систему

Эти 10 шагов помогут вам создать собственное PAM-приложение и помогут понять, как работает сеанс PAM:

1. Включите заголовочные файлы, необходимые для использования PAM (например, pam_appl.h, pam_misc.h).
2. В функции main инициализируйте библиотеку PAM libpam.so (которая загружает модули, указанные в файле конфигурации для приложения) при помощи уникального идентификатора.
3. Попытайтесь выполнить аутентификацию для всех модулей и рассмотрите сценарии отказов.
4. Проверьте учетные данные пользователей и параметры учетных записей.
5. Откройте новый сеанс PAM.
6. Создайте среду для пользователя при помощи учетных данных.
7. По завершении работы пользователя закройте пользовательскую среду.
8. Закройте сеанс PAM.
9. Выйдите из библиотеки libpam.so с соответствующим идентификатором.
10. Выход.

Заключение

Применение PAM для превращения работы с низкоуровневой аутентификацией в более управляемый и целостный процесс – это разумный шаг по упрощению этого механизма безопасности. В этой статье вы познакомились:

• с основами архитектуры PAM;
• с настройкой модулей PAM;
• с созданием PAM-приложения для входа в систему, помогающим понять его работу.

Теперь вы можете перейти к более сложным материалам по использованию PAM. Ссылки приведены в разделе Ресурсы.

Ресурсы

Научиться

• Оригинал статьи (EN).
  
  
• Сборник руководств Linux-PAM (EN) содержит документацию по проблемам системного администрирования, написанию модулей и разработке приложений.
  
  
• Взгляд на PAM со стороны Неофициального FAQ по SUSE Linux (EN).
  
  
• Если вам необходимо обновление, на сайте Gentoo есть руководство по обновлению Linux-PAM (EN).
  
  
• Взгляните на модель архитектуры X/Open Single Sign-on Service (XSSO) (EN).
  
  
• Готовы к более подробным материалам по работе с PAM?
  • Сравнение подсистем безопасности в AIX, Linux и Solaris (developerWorks, октябрь 2005 г.; ): как работают PAM в этих системах.
  • Применение пространства имен монтирования (developerWorks, сентябрь 2007 г.; ): познакомьтесь с соответствующей частью модулей PAM.
  • Централизованное управление учетными записями пользователей при помощи OpenLDAP (developerWorks, май 2006 г.; EN): узнайте, как PAM в Linux взаимодействуют с LDAP.
  • Усиление безопасности при помощи многоэкземплярности (developerWorks, февраль 2008 г.; EN): использование подключаемых модулей аутентификации для защиты личной информации.
  • Учебник для экзамена LPI 202, Тема 210: Управление сетевыми клиентами (developerWorks, май 2006 г.): настройка PAM для обеспечения аутентификации.
  • Настройка PAM в SUSE Enterprise Linux 9 (Technote (IBM Tivoli Netcool/OMNIbus), октябрь 2008 г.; EN): настройка модуля PAM для аутентификации локальных пользователей при помощи ObjectServer.
  
  
• В разделе Linux сайта developerWorks можно найти дополнительные ресурсы для разработчиков Linux и самые популярные среди наших читателей статьи и руководства (EN).
  
  
• Посмотрите все советы по Linux и руководства по Linux на сайте developerWorks.
  
  
• Следите на последними новостями на портале Web-трансляций и технических мероприятий developerWorks (EN).
  
  

Получить продукты и технологии

• Используйте в своем следующем проекте разработки для Linux ознакомительные версии программного обеспечения IBM, которые можно скачать непосредственно с developerWorks.(EN)
  
  

Обсудить

• Примите участие в обсуждении материала на форуме.
  
  
• Присоединяйтесь к сообществу developerWorks и знакомьтесь с блогами, форумами, подкастами и материалами для совместного обсуждения на обновленном пространстве нашего портала developerWorks.(EN)
  
  

Об авторе

Оценить эту статью

Комментарии

В начало

Содержание

• История использования PAM
• Настройка PAM
• 10 шагов для создания простого PAM-приложения входа в систему
• Заключение
• Ресурсы
• Об авторе
• Комментарии