Fichier /usr/lib/security/methods.cfg

Objectif

Contient les informations relatives à la configuration du module d'authentification chargeable.

Descriptif

Le fichier /usr/lib/security/methods.cfg est un fichier ASCII qui contient des strophes contenant des informations sur le module d'authentification chargeable. Chaque section est identifiée par un nom de module suivi d'un signe deux-points (:) et contient des attributs au format Attribut=Valeur. Chaque attribut se termine par un caractère de nouvelle ligne et chaque strophe se termine par un caractère de nouvelle ligne supplémentaire.

Le fichier /usr/lib/security/methods.cfg est un lien symbolique vers le fichier /etc/methods.cfg .

Remarque: Si vous utilisez Common Desktop Environment (CDE), vous devez redémarrer le gestionnaire de connexion de bureau (dtlogin) pour que les modifications soient prises en compte. Le redémarrage de dtlogin empêchera l'échec de la connexion à CDE en utilisant les mécanismes de sécurité mis à jour. Pour plus d'informations, consultez le fichier /usr/dt/README .

Chaque section peut avoir les attributs suivants:

Attribut	Descriptif
Domaine	Indique une chaîne de texte ASCII de format libre utilisée par le module d'authentification chargeable pour sélectionner un référentiel de données. Cet attribut est facultatif.
netgroup	Indique l'activation de netgroup pour ce module. Les comportements suivants seront activés: Les utilisateurs définis dans le fichier /etc/security/user en tant que membres du registre du module (par exemple, registry=LDAP et SYSTEM=LDAP) ne pourront pas s'authentifier en tant qu'utilisateurs du module. Ces utilisateurs deviendront désormais des utilisateurs nis_module et nécessiteront une appartenance à un groupe réseau NIS natif. Pour activer complètement les utilisateurs du groupe réseau nis_module , les entrées correspondantes dans /etc/security/user doivent avoir les valeurs registry et SYSTEM supprimées ou définies sur`compat`. Valeur de registre de`compat`est désormais pris en charge. Cependant, seuls les utilisateurs nis_module s'afficheront`compat`comme registre. Les autres utilisateurs affichent leur valeur de registre absolue. La signification de enregistrement=`compat` sera étendu pour inclure les modules prenant en charge netgroup. Par exemple, si le module LDAP est activé pour netgroup,`compat`inclut les registres suivants: fichiers, NIS et LDAP.
Options	Indique une chaîne de texte ASCII contenant des valeurs facultatives qui sont transmises au module d'authentification chargeable lors de l'initialisation. Les valeurs prises en charge pour chaque module sont décrites dans la documentation du produit pour ce module d'authentification chargeable. L'attribut options prend les valeurs prédéfinies suivantes: auth= module Indique le module à utiliser pour exécuter les fonctions d'authentification pour le module d'authentification chargeable en cours authonly Indique que le module d'authentification chargeable effectue uniquement des opérations d'authentification. Les informations sur les utilisateurs et les groupes doivent être fournies par un module différent, spécifié par l'option db= . Si ce n'est pas le cas, les informations sur les utilisateurs et les groupes doivent être fournies par la base de données des fichiers locaux. module db= Indique le module à utiliser pour fournir des informations sur les utilisateurs et les groupes pour le module d'authentification chargeable en cours base de données uniquement Indique que le module d'authentification chargeable fournit uniquement des informations sur les utilisateurs et les groupes et n'exécute pas de fonctions d'authentification. Les opérations d'authentification doivent être effectuées par un module de chargement différent, spécifié par l'option auth= . Si l'option auth= n'est pas spécifiée, toutes les opérations d'authentification échouent. groupe réseau Indique l'activation de netgroup de ce module. Les comportements suivants seront activés: Les utilisateurs définis dans /etc/security/user en tant que membres du registre du module (par exemple, ayant registry = LDAP et SYSTEM=LDAP) ne pourront pas s'authentifier en tant qu'utilisateurs du module. Ces utilisateurs deviendront désormais des utilisateurs nis_module et nécessiteront l'appartenance à un groupe réseau NIS natif. Pour activer complètement les utilisateurs du groupe réseau nis_module, les valeurs registry et SYSTEM des entrées correspondantes dans /etc/security/user doivent être supprimées ou définies sur compat. La valeur de registre de compat est désormais prise en charge. Toutefois, seuls les utilisateurs nis_module afficheront compat comme valeur de registre. Les autres utilisateurs affichent leur valeur de registre absolue. La signification du registre compat sera étendue pour inclure les modules prenant en charge netgroup. Par exemple, si le module LDAP est activé pour netgroup-enabled, compat inclura les registres suivants: fichiers, NIS et LDAP. pas d'invite L'invite de mot de passe initiale pour les opérations d'authentification est supprimée. Le module d'authentification chargeable contrôlerait alors toutes les invites de mot de passe. rootrequiresopw Détermine si l'utilisateur root est invité à entrer l'ancien mot de passe pour ce module d'authentification chargeable lors de la modification du mot de passe d'un autre utilisateur. Si vous souhaitez désactiver l'invite de l'ancien mot de passe, définissez cette option sur False. La valeur par défaut est True (vrai).

Attribut

Descriptif

Domaine

Indique une chaîne de texte ASCII de format libre utilisée par le module d'authentification chargeable pour sélectionner un référentiel de données. Cet attribut est facultatif.

netgroup

Indique l'activation de netgroup pour ce module. Les comportements suivants seront activés:

Les utilisateurs définis dans le fichier /etc/security/user en tant que membres du registre du module (par exemple, registry=LDAP et SYSTEM=LDAP) ne pourront pas s'authentifier en tant qu'utilisateurs du module. Ces utilisateurs deviendront désormais des utilisateurs nis_module et nécessiteront une appartenance à un groupe réseau NIS natif. Pour activer complètement les utilisateurs du groupe réseau nis_module , les entrées correspondantes dans /etc/security/user doivent avoir les valeurs registry et SYSTEM supprimées ou définies surcompat.
Valeur de registre decompatest désormais pris en charge. Cependant, seuls les utilisateurs nis_module s'afficherontcompatcomme registre. Les autres utilisateurs affichent leur valeur de registre absolue.
La signification de enregistrement=compat sera étendu pour inclure les modules prenant en charge netgroup. Par exemple, si le module LDAP est activé pour netgroup,compatinclut les registres suivants: fichiers, NIS et LDAP.

Options

Indique une chaîne de texte ASCII contenant des valeurs facultatives qui sont transmises au module d'authentification chargeable lors de l'initialisation. Les valeurs prises en charge pour chaque module sont décrites dans la documentation du produit pour ce module d'authentification chargeable.

L'attribut options prend les valeurs prédéfinies suivantes:

auth= module

Indique le module à utiliser pour exécuter les fonctions d'authentification pour le module d'authentification chargeable en cours

authonly

Indique que le module d'authentification chargeable effectue uniquement des opérations d'authentification. Les informations sur les utilisateurs et les groupes doivent être fournies par un module différent, spécifié par l'option db= . Si ce n'est pas le cas, les informations sur les utilisateurs et les groupes doivent être fournies par la base de données des fichiers locaux.

module db=

Indique le module à utiliser pour fournir des informations sur les utilisateurs et les groupes pour le module d'authentification chargeable en cours

base de données uniquement

Indique que le module d'authentification chargeable fournit uniquement des informations sur les utilisateurs et les groupes et n'exécute pas de fonctions d'authentification. Les opérations d'authentification doivent être effectuées par un module de chargement différent, spécifié par l'option auth= . Si l'option auth= n'est pas spécifiée, toutes les opérations d'authentification échouent.

groupe réseau

Indique l'activation de netgroup de ce module. Les comportements suivants seront activés:

Les utilisateurs définis dans /etc/security/user en tant que membres du registre du module (par exemple, ayant registry = LDAP et SYSTEM=LDAP) ne pourront pas s'authentifier en tant qu'utilisateurs du module. Ces utilisateurs deviendront désormais des utilisateurs nis_module et nécessiteront l'appartenance à un groupe réseau NIS natif. Pour activer complètement les utilisateurs du groupe réseau nis_module, les valeurs registry et SYSTEM des entrées correspondantes dans /etc/security/user doivent être supprimées ou définies sur compat.
La valeur de registre de compat est désormais prise en charge. Toutefois, seuls les utilisateurs nis_module afficheront compat comme valeur de registre. Les autres utilisateurs affichent leur valeur de registre absolue.
La signification du registre compat sera étendue pour inclure les modules prenant en charge netgroup. Par exemple, si le module LDAP est activé pour netgroup-enabled, compat inclura les registres suivants: fichiers, NIS et LDAP.

pas d'invite

L'invite de mot de passe initiale pour les opérations d'authentification est supprimée. Le module d'authentification chargeable contrôlerait alors toutes les invites de mot de passe.

rootrequiresopw

Détermine si l'utilisateur root est invité à entrer l'ancien mot de passe pour ce module d'authentification chargeable lors de la modification du mot de passe d'un autre utilisateur. Si vous souhaitez désactiver l'invite de l'ancien mot de passe, définissez cette option sur False. La valeur par défaut est True (vrai).

Attribut	Descriptif
options (suite)	L'attribut options peut également utiliser les valeurs prédéfinies suivantes pour les modules de chargement KRB5/KRB5A : allow_expired_pwd= [ yes \| true / no \| false ] Les valeurs possibles pour l'option mot_de_passe_expi_autorisée sont les suivantes: Non ou faux Oui ou vrai Par défaut, l'option mot_de_passe_expi_autorisée est définie sur no ou false. L'option mot_de_passe_expi_autorisée permet au système d'exploitation AIX® d'obtenir les informations d'expiration du mot de passe à l'aide des interfaces d'authentification Kerberos . Le statut réel des informations d'expiration de mot de passe est obtenu lors de la connexion ou en appelant la sous-routine d'authentification et la sous-routine passwdexpired . is_kadmind_compat = [ yes \| true / no \| false ] Cette option permet d'indiquer le service d'authentification sur lequel Kerberos s'authentifie. S'il est défini sur yes ou true, il s'authentifie à l'aide du service d'authentification réseau (NAS). S'il est défini sur no ou false, l'environnement est défini pour utiliser les services nonAIX . kadmind = [ oui \| vrai / non \| faux ] Les valeurs possibles pour l'option Kadmind sont les suivantes: Non ou faux: désactive les recherches Kadmind . Yes ou true: active les recherches Kadmind . La valeur par défaut est Oui. Lorsque cette option est définie sur no, le daemon kadmind n'est pas contacté lors de l'authentification. Par conséquent, les utilisateurs peuvent se connecter au système, quel que soit le statut du daemon kadmind, à condition que l'utilisateur entre le mot de passe correct lorsque le système le demande. Toutefois, les commandes d'administration des utilisateurs AIX® , telles que mkuser, utilisateur chuserou rmuser, ne fonctionnent pas pour administrer les utilisateurs intégrés Kerberos si le démon n'est pas disponible (par exemple, si le démon est arrêté ou si la machine n'est pas accessible). La valeur par défaut du paramètre Kadmind est yes. Cela signifie que les recherches Kadmind sont effectuées lors de l'authentification. Dans le cas par défaut, si le daemon n'est pas disponible, l'authentification peut prendre plus de temps. kadmind_timeout = [valeur_délai] L'option délai_expiration_kadmin correspond à la durée, en secondes, entre les tentatives de connexion à Kadmind après un délai d'attente initial. Les valeurs admises sont comprises entre 0 et 300. keep_creds = [ oui/non ] Par défaut, l'option keep_creds est définie sur no. Si l'option keep_creds est définie sur yes, chaque nouvelle connexion génère un nouveau fichier cache de données d'identification basé sur PAG. sync_all = [ yes \| true / no \| false ] Cette option permet d'indiquer où le traitement d'une requête TOUS est effectué, soit par le module de chargement, soit par la bibliothèque de sécurité. Si l'option sync_all est définie sur no ou false, le module de chargement laisse la tâche de calculer une demande TOUS aux routines de la bibliothèque de sécurité. Si la valeur est yes ou true, la liste des principaux est extraite par le module de chargement. Le côté authentification du module de chargement peut déclarer qu'il n'est pas pris en charge pour la requête TOUS . Dans ce cas, la bibliothèque de sécurité est toujours capable de calculer une liste TOUS pour le côté authentification. Pour ce faire, il interroge le côté d'authentification pour chaque utilisateur obtenu du côté de la base de données. La liste TOUS résultante contient uniquement les utilisateurs et les principaux qui existent des deux côtés. L'avantage de cette opération est que si le nombre d'utilisateurs est trop élevé, le client ou le serveur Kerberos risque de ne pas pouvoir effectuer cette opération. Cependant, l'interrogation d'un utilisateur à la fois aboutit. L'inconvénient de l'interrogation d'un utilisateur à la fois est la performance. Il y a une forte dégradation des performances si les utilisateurs sont interrogés un utilisateur à la fois par la bibliothèque de sécurité. tgt_verify = [ yes \| true / no \| false ] Les valeurs possibles pour l'option vérif_tgt sont les suivantes: Non ou faux: désactive la vérification du ticket d'octroi d'autorisations (TGT). Oui ou vrai: active la vérification TGT. Par défaut, la vérification de la TGT est activée. Lorsque l'option vérif_tgt est définie sur no, la vérification TGT n'est pas effectuée et il n'est pas nécessaire de transférer les clés des clés principales de l'hôte. Cela élimine la nécessité d'utiliser le fichier de clés à des fins d'authentification lorsque le module KRB5A est utilisé. D'autres applications compatibles avec Kerberospeuvent nécessiter le fichier de clés pour les principaux d'hôte et de service.

Attribut

Descriptif

options (suite)

L'attribut options peut également utiliser les valeurs prédéfinies suivantes pour les modules de chargement KRB5/KRB5A :

allow_expired_pwd= [ yes | true / no | false ]

Les valeurs possibles pour l'option mot_de_passe_expi_autorisée sont les suivantes:

Non ou faux
Oui ou vrai

Par défaut, l'option mot_de_passe_expi_autorisée est définie sur no ou false. L'option mot_de_passe_expi_autorisée permet au système d'exploitation AIX® d'obtenir les informations d'expiration du mot de passe à l'aide des interfaces d'authentification Kerberos . Le statut réel des informations d'expiration de mot de passe est obtenu lors de la connexion ou en appelant la sous-routine d'authentification et la sous-routine passwdexpired .

is_kadmind_compat = [ yes | true / no | false ]

Cette option permet d'indiquer le service d'authentification sur lequel Kerberos s'authentifie. S'il est défini sur yes ou true, il s'authentifie à l'aide du service d'authentification réseau (NAS). S'il est défini sur no ou false, l'environnement est défini pour utiliser les services nonAIX .

kadmind = [ oui | vrai / non | faux ]

Les valeurs possibles pour l'option Kadmind sont les suivantes:

Non ou faux: désactive les recherches Kadmind .
Yes ou true: active les recherches Kadmind .

La valeur par défaut est Oui. Lorsque cette option est définie sur no, le daemon kadmind n'est pas contacté lors de l'authentification. Par conséquent, les utilisateurs peuvent se connecter au système, quel que soit le statut du daemon kadmind, à condition que l'utilisateur entre le mot de passe correct lorsque le système le demande. Toutefois, les commandes d'administration des utilisateurs AIX® , telles que mkuser, utilisateur chuserou rmuser, ne fonctionnent pas pour administrer les utilisateurs intégrés Kerberos si le démon n'est pas disponible (par exemple, si le démon est arrêté ou si la machine n'est pas accessible). La valeur par défaut du paramètre Kadmind est yes. Cela signifie que les recherches Kadmind sont effectuées lors de l'authentification. Dans le cas par défaut, si le daemon n'est pas disponible, l'authentification peut prendre plus de temps.

kadmind_timeout = [valeur_délai]

L'option délai_expiration_kadmin correspond à la durée, en secondes, entre les tentatives de connexion à Kadmind après un délai d'attente initial. Les valeurs admises sont comprises entre 0 et 300.

keep_creds = [ oui/non ]

Par défaut, l'option keep_creds est définie sur no. Si l'option keep_creds est définie sur yes, chaque nouvelle connexion génère un nouveau fichier cache de données d'identification basé sur PAG.

sync_all = [ yes | true / no | false ]

Cette option permet d'indiquer où le traitement d'une requête TOUS est effectué, soit par le module de chargement, soit par la bibliothèque de sécurité. Si l'option sync_all est définie sur no ou false, le module de chargement laisse la tâche de calculer une demande TOUS aux routines de la bibliothèque de sécurité. Si la valeur est yes ou true, la liste des principaux est extraite par le module de chargement. Le côté authentification du module de chargement peut déclarer qu'il n'est pas pris en charge pour la requête TOUS . Dans ce cas, la bibliothèque de sécurité est toujours capable de calculer une liste TOUS pour le côté authentification. Pour ce faire, il interroge le côté d'authentification pour chaque utilisateur obtenu du côté de la base de données. La liste TOUS résultante contient uniquement les utilisateurs et les principaux qui existent des deux côtés. L'avantage de cette opération est que si le nombre d'utilisateurs est trop élevé, le client ou le serveur Kerberos risque de ne pas pouvoir effectuer cette opération. Cependant, l'interrogation d'un utilisateur à la fois aboutit. L'inconvénient de l'interrogation d'un utilisateur à la fois est la performance. Il y a une forte dégradation des performances si les utilisateurs sont interrogés un utilisateur à la fois par la bibliothèque de sécurité.

tgt_verify = [ yes | true / no | false ]

Les valeurs possibles pour l'option vérif_tgt sont les suivantes:

Non ou faux: désactive la vérification du ticket d'octroi d'autorisations (TGT).
Oui ou vrai: active la vérification TGT.

Par défaut, la vérification de la TGT est activée. Lorsque l'option vérif_tgt est définie sur no, la vérification TGT n'est pas effectuée et il n'est pas nécessaire de transférer les clés des clés principales de l'hôte. Cela élimine la nécessité d'utiliser le fichier de clés à des fins d'authentification lorsque le module KRB5A est utilisé. D'autres applications compatibles avec Kerberospeuvent nécessiter le fichier de clés pour les principaux d'hôte et de service.

Attribut	Descriptif
options (suite)	Vous pouvez uniquement utiliser les chaînes de valeur auth=module et db=module pour les modules d'authentification chargeables complexes, qui peuvent nécessiter ou être utilisés avec un autre module d'authentification chargeable pour fournir de nouvelles fonctionnalités. Les valeurs authonly et base de données uniquement ne sont pas valides pour les modules complexes. Vous pouvez utiliser la valeur pas d'invite pour n'importe quel type de module.
Programme	Nomme le module de chargement contenant le code exécutable qui implémente la méthode d'authentification chargeable.
program_64	Nomme le module de chargement contenant le code exécutable qui implémente la méthode d'authentification chargeable pour les processus 64 bits.

Attribut

Descriptif

options (suite)

Vous pouvez uniquement utiliser les chaînes de valeur auth=module et db=module pour les modules d'authentification chargeables complexes, qui peuvent nécessiter ou être utilisés avec un autre module d'authentification chargeable pour fournir de nouvelles fonctionnalités.

Les valeurs authonly et base de données uniquement ne sont pas valides pour les modules complexes.

Vous pouvez utiliser la valeur pas d'invite pour n'importe quel type de module.

Programme

Nomme le module de chargement contenant le code exécutable qui implémente la méthode d'authentification chargeable.

program_64

Nomme le module de chargement contenant le code exécutable qui implémente la méthode d'authentification chargeable pour les processus 64 bits.

Security

Contrôle d'accès: ce fichier doit accorder un accès en lecture (r) et en écriture (w) à l'utilisateur root uniquement et un accès en lecture (r) au groupe de sécurité et à tous les autres utilisateurs.

Exemples

Pour indiquer que le module d'authentification chargeable se trouve dans le fichier/usr/lib/security/DCE, entrez:
```
program = /usr/lib/security/DCE
```
Pour indiquer que le module d'authentification chargeable doit uniquement fournir des fonctions d'authentification, entrez:
```
options = authonly
```
L'exemple suivant contient des informations de configuration pour leLDAPmodule d'authentification chargeable simple:
```
LDAP:
    program = /usr/lib/security/LDAP
    program_64 = /usr/lib/security/LDAP64
```
La section "LDAP" indique le nom du module, utilisé par les attributs SYSTEME et registre pour un utilisateur. Le nom ne doit pas nécessairement être identique au nom de fichier indiqué pour l'attribut programme .
L'exemple suivant contient des informations de configuration pour le module d'authentification KERBEROS chargeable complexe:
```
KERBEROS:
    program = /usr/lib/security/KERBEROS
    program_64 = /usr/lib/security/KERBEROS64
    options = authonly,db=LDAP
```
La section "KERBEROS" indique le nom du module tel qu'il est utilisé par les attributs SYSTEME et registre d'un utilisateur. Ce nom ne doit pas nécessairement être identique au nom du fichier indiqué pour l'attribut programme . L'attribut options indique que les fonctions d'information d'utilisateur et de groupe doivent être exécutées par le module décrit par la section "LDAP" (dans l'exemple 3).

Fichiers

/usr/lib/security/methods.cfg: Indique le chemin d'accès au fichier.
/etc/passwd: Contient des attributs utilisateur de base.
/etc/security/user: Contient les attributs étendus des utilisateurs.
/usr/dt/README: Contient des informations dtlogin .