module pam_aix

Editer en ligne

Le module pam_aix est un module PAM qui permet aux applications compatibles PAM d'accéder aux services de sécurité AIX® en fournissant des interfaces qui appellent les services AIX équivalents lorsqu'ils existent.

Ces services sont à leur tour exécutés par un module d'authentification chargeable ou par la fonction intégrée AIX basée sur la définition de l'utilisateur et la configuration correspondante dans le fichier methods.cfg . Tous les codes d'erreur générés lors de l'exécution d'un service AIX sont mappés au code d'erreur PAM correspondant.

Figure 1 : Application PAM au chemin du sous-système de sécurité AIX

Cette illustration montre le chemin suivi par un appel d'API d'application PAM si le fichier /etc/pam.conf est configuré pour utiliser le module pam_aix . Comme le montre le diagramme, l'intégration permet aux utilisateurs d'être authentifiés par l'un des modules d'authentification chargeables (DCE, LDAP ou KRB5) ou dans des fichiers AIX (compat).

Le module pam_aix est installé dans le répertoire /usr/lib/security . L'intégration du module pam_aix nécessite que le fichier /etc/pam.conf soit configuré pour utiliser le module. L'empilement est toujours disponible mais ne figure pas dans l'exemple suivant du fichier /etc/pam.conf :

#
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix 

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix 

#
# Password management
#
OTHER   password required       /usr/lib/security/pam_aix

Le module pam_aix comporte des implémentations pour les fonctions SPI pam_sm_authenticate, pam_sm_chauthok et pam_sm_acct_mgmt . Les SPI Pam_sm_setcred, Clam_sm_open_sessionet Clam_sm_close_session sont également implémentées dans le module Pam_aix, mais ces fonctions SPI renvoient des appels PAM_SUCCESS.

Voici un mappage approximatif des appels de l'interface SPI au sous-système de sécurité AIX :

         PAM SPI                    AIX
        =========                  =====
        pam_sm_authenticate   -->  authenticate
        pam_sm_chauthtok      -->  passwdexpired, chpass
                                   Note: passwdexpired is only checked if the
                                   PAM_CHANGE_EXPIRED_AUTHTOK flag is passed in.
        pam_sm_acct_mgmt      -->  loginrestrictions, passwdexpired
        pam_sm_setcred        -->  No comparable mapping exists, PAM_SUCCESS returned
        pam_sm_open_session   -->  No comparable mapping exists, PAM_SUCCESS returned
        pam_sm_close_session  -->  No comparable mapping exists, PAM_SUCCESS returned

Les données destinées à être transmises au sous-système de sécurité AIX peuvent être définies à l'aide de la fonction pam_set_item avant l'utilisation du module ou du module pam_aix pour les données si elles n'existent pas déjà.