pam_aix, Modul

Online bearbeiten

Das Modul pam_aix ist ein PAM-Modul, das PAM-fähigen Anwendungen den Zugriff auf AIX® ermöglicht, indem es Schnittstellen bereitstellt, die die entsprechenden AIX aufrufen, sofern diese existieren.

Diese Services werden wiederum von einem ladbaren Authentifizierungsmodul oder der integrierten Funktion AIX basierend auf der Definition des Benutzers und der entsprechenden Konfiguration in der Datei methods.cfg ausgeführt. Alle Fehlercodes, die während der Ausführung eines AIX -Service generiert wurden, werden dem entsprechenden PAM-Fehlercode zugeordnet.

Abb. 1. PAM-Anwendung für AIX Security Subsystem Path

Diese Abbildung zeigt den Pfad, den ein API-Aufruf der PAM-Anwendung folgen wird, wenn die /etc/pam.conf -Datei so konfiguriert ist, dass sie das pam_aix -Modul verwendet. Wie im Diagramm dargestellt, ermöglicht die Integration die Authentifizierung von Benutzern durch eines der ladbaren Authentifizierungsmodule (DCE, LDAP oder KRB5) oder in AIX (compat).

Das pam_aix -Modul wird im Verzeichnis /usr/lib/security installiert. Für die Integration des pam_aix -Moduls ist es erforderlich, dass die /etc/pam.conf -Datei so konfiguriert ist, dass sie das Modul verwendet. Das Stapeln ist weiterhin verfügbar, wird jedoch im folgenden Beispiel der /etc/pam.conf -Datei nicht angezeigt:

#
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix 

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix 

#
# Password management
#
OTHER   password required       /usr/lib/security/pam_aix

Das pam_aix -Modul verfügt über Implementierungen für die SPI-Funktionen pam_sm_authenticate, pam_sm_chauthok und pam_sm_acct_mgmt . Die SPI pam_sm_setcred, pam_sm_open_sessionund pam_sm_close_session werden auch im Modul pam_aix implementiert, aber diese SPI-Funktionen geben PAM_SUCCESS -Aufrufe zurück.

Im Folgenden finden Sie eine ungefähre Zuordnung von PAM-SPI-Aufrufen an das Sicherheitssubsystem AIX :

         PAM SPI                    AIX
        =========                  =====
        pam_sm_authenticate   -->  authenticate
        pam_sm_chauthtok      -->  passwdexpired, chpass
                                   Note: passwdexpired is only checked if the
                                   PAM_CHANGE_EXPIRED_AUTHTOK flag is passed in.
        pam_sm_acct_mgmt      -->  loginrestrictions, passwdexpired
        pam_sm_setcred        -->  No comparable mapping exists, PAM_SUCCESS returned
        pam_sm_open_session   -->  No comparable mapping exists, PAM_SUCCESS returned
        pam_sm_close_session  -->  No comparable mapping exists, PAM_SUCCESS returned

Daten, die an das Sicherheitssubsystem AIX übergeben werden sollten, können mit der Funktion pam_set_item vor der Verwendung des Moduls oder mit dem Modul pam_aix für Daten festgelegt werden, falls es noch nicht vorhanden ist.