ibm_authd

即使启用了 ibm_authd,PAM 模块也不再使用 ibm_authd 服务器。 对于多用户系统,由于 ibm_authd 方法的本地 TCP/IP 通信未加密,因此认为该方法不安全。 如果 ibm_authd 必须使用,可以在 部分 ibm-auth-api 下为 /etc/pam_ibm_auth.json 添加 选项 "authd-force”: “y”

Verifyibm_authd 守护进程是一个连接和承载令牌缓存代理,PAM模块通过它 Verify 来避免在每次被调用时都建立 HTTPS 连接并向服务器进行身份验证。
通常情况下位置为 /opt/ibm/ibm_auth/ibm_authd

如果 JSON 配置文件中设置了 和 "authd-port""ibm-auth-api" ,则 Verify PAM 模块会使用该守护进程。 如果未设置该配置值,则 PAM 模块 Verify 将直接转至服务器 Verify

注意: ibm_authd 现在仅用于 选项 --obf ,不再作为守护进程使用。
守护程序具有以下选项:
--conf_file=<config_file>
此选项为可选项,用于指定包含服务器 Verify 连接信息的 JSON 配置文件。 该值缺省情况下为 /etc/pam_ibm_auth.json
--pid_file=<pid_file>
此选项是可选的,并指定了守护程序将进程标识写入的文件。 此值缺省情况下为 /var/run/ibm_authd.pid
--nodaemon
此选项禁止服务器在后台运行。
--obf [ ...]
此选项是非服务器操作,允许在 JSON 配置文件中放置加密密码。 例如,
# /opt/ibm/ibm_auth/ibm_authd --obf passw0rd

Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY=
该值输出可以用于加密 "ibm-auth-api""client-secret" 值。 除去当前的 "client-secret" 条目,并将其替换为加密的值。 例如,
"obf-client-secret": "Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY="