ibm_authd
即使启用了 ibm_authd,PAM 模块也不再使用 ibm_authd 服务器。 对于多用户系统,由于 ibm_authd 方法的本地 TCP/IP 通信未加密,因此认为该方法不安全。 如果 ibm_authd 必须使用,可以在 部分 ibm-auth-api 下为 /etc/pam_ibm_auth.json 添加 选项 "authd-force”: “y” 。
ibm_authd 守护进程是一个连接和承载令牌缓存代理,PAM模块通过它 Verify 来避免在每次被调用时都建立 HTTPS 连接并向服务器进行身份验证。如果 JSON 配置文件中设置了 和 "authd-port" 值 "ibm-auth-api" ,则 Verify PAM 模块会使用该守护进程。 如果未设置该配置值,则 PAM 模块 Verify 将直接转至服务器 Verify 。
注意:
ibm_authd 现在仅用于 选项 --obf ,不再作为守护进程使用。守护程序具有以下选项:
- --conf_file=<config_file>
- 此选项为可选项,用于指定包含服务器 Verify 连接信息的 JSON 配置文件。 该值缺省情况下为 /etc/pam_ibm_auth.json。
- --pid_file=<pid_file>
- 此选项是可选的,并指定了守护程序将进程标识写入的文件。 此值缺省情况下为 /var/run/ibm_authd.pid。
- --nodaemon
- 此选项禁止服务器在后台运行。
- --obf [ ...]
- 此选项是非服务器操作,允许在 JSON 配置文件中放置加密密码。 例如,
该值输出可以用于加密# /opt/ibm/ibm_auth/ibm_authd --obf passw0rd Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY="ibm-auth-api"和"client-secret"值。 除去当前的"client-secret"条目,并将其替换为加密的值。 例如,"obf-client-secret": "Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY="