Provided by:
manpages-pl_20060617-4_all 
NAZWA
Linux-PAM - Wstawialne moduly autentykacji dla Linuksa (ang. Pluggable
Authentication Modules)
STRESZCZENIE
/etc/pam.conf
OPIS
Podrcznik ten ma na celu danie krotkiego wprowadzenia do Linux-PAM.
Dla dalszych informacji, czytelnik jest odsylany do Linux-PAM system
administrators' guide.
Linux-PAM jest systemem bibliotek, ktore zajmuj si zadaniami
autentykacji aplikacji (uslug) systemu. Biblioteka daje stabilny i
ogolny interfejs (API), ktoremu podlegaj w zadaniach autentykacji
programy dajce przywileje (takie jak login(1) i su(1)).
Podstawow wlaciwoci podejcia PAM jest to, e natura autentykacji jest
dynamicznie konfigurowalna. Innymi slowy, administrator systemu ma
pelne pole do popisu w wybieraniu sposobu autentykacji poszczegolnych
aplikacji. Ta dynamiczna konfiguracja jest ustawiana zawartoci
pojedynczego pliku konfiguracyjnego Linux-PAM czyli /etc/pam.conf.
Alternatywnie, mona wszystko konfigurowa pojedynczymi plikami
konfiguracyjymi, zlokalizowanymi w katalogu /etc/pam.d/. Obecno tego
katalogu spowoduje, e Linux-PAM zignoruje /etc/pam.conf.
Z punktu widzenia administratora systemu, dla ktorego przeznaczony jest
ten podrcznik, nie jest wane zrozumienie wewntrznego dzialania
biblioteki Linux-PAM. Wan rzecz jest natomiast rozumienie, e plik(i)
konfiguracyjne definiuj polczenia midzy aplikacjami (us/lugami) a
wstawialnymi modulami autentykacji (PAM'ami), ktore dokonuj
rzeczywistych zada autentykacji.
Linux-PAM rozdziela zadania autentykacji na cztery niezalene grupy
zarzdzania: zarzdzanie kontem (account); zarzdzanie autentykacj
(authentication); zarzdzanie haslami (password); i zarzdzanie sesj
(session). (podwietlamy skroty uywane dla tych grup w pliku
konfiguracyjnym.)
Po ustawieniu, grupy te bd si zajmowaly ronymi aspektami typowego dania
zastrzeonej uslugi przez uytkownika:
account - daj usludze moliwo weryfikacji konta: czy haslo uytkownika
jest przedawnione?; czy uytkownik ma prawo dostpu do danej uslugi?
authentication - ustal czy uytkownik jest tym, za ktorego si podaje.
Zazwyczaj robi si to poprzez zapytanie uytkownika o pewn odpowied,
ktorej musi udzieli: jeli jeste tym, za kogo si podajesz, podaj prosz
swoje haslo. Nie wszystkie autentykacje s tego rodzaju, istniej te
sprztowe schematy autentykacji (takie jak uywanie urzdze
biometrycznych), ktore maj odpowiednie moduly, nadajce si do
bezproblemowego podstawienia za standardowe modele autentykacji - oto
elastyczno Linux-PAM.
password - zadaniem tej grupy jest odwieanie mechanizmow autentykacji.
Zazwyczaj uslugi takie s cile zwizane z tymi z auth. Niektore
mechanizmy autentykacji dobrze nadaj si do odwieania t funkcj.
Oczywistym przykladem jest standardowy UN*X-owy dostp oparty o haslo:
prosz wstawi haslo zamienne.
session - zadania tej grupy obejmuj rzeczy, ktore powinny by dokonane
przed daniem uslugi oraz po jej wycofaniu. Zadania takie to m.in
obsluga ladow rewizyjnych i montowanie katalogu domowego uytkownika.
Grupa obslugi sesji jest wana, gdy udostpnia zarowno hak otwierajcy,
jak i zamykajcy modulow.
Plik(i) konfiguracyjne
Gdy uruchamiana jest aplikacja wiadoma przyznawania uprawnie poprzez
bibliotek Linux-PAM, aktywuje ona swoje powizanie z PAM-API. Aktywacja
ta okrela wiele rzeczy, wrod ktorych najwaniejsz jest przeczytanie
plikow konfiguracyjnych: /etc/pam.conf, lub w wypadku istnienia
odpowiedniego katalogu, pliki z /etc/pam.d/.
Pliki te wymieniaj PAMy, ktore bd si zajmowaly zadaniami autentykacji
danej uslugi i odpowiednie zachowanie PAM-API gdy ktory z PAMow
zawiedzie.
Skladnia pliku konfiguracyjnego /etc/pam.conf jest nastpujca. Plik jest
zloony z listy regul, przy czym kada z nich zwykle jest umieszczana w
pojedynczej linii, cho moe by te zloona na kocu linii: `\<LF>'.
Komentarze s poprzedzane znakiem `#' i trwaj a do koca linii.
Format kadej reguly to rozdzielona spacjami kolekcja elementow, z
ktorych pierwsze trzy nie rozroniaj wielkoci liter:
us/luga rodzaj kontrola cieka-modu/lu argumenty-modu/lu
skladnia plikow z /etc/pam.d/ jest taka sama, z t ronic e nie ma tam
pol us/lug. W tym wypadku, us/luga jest nazw pliku z /etc/pam.d/. Nazwa
pliku musi by zapisana malymi literami.
Wan wlaciwoci Linux-PAM jest to, e mona zestawi na stosie wiele regul i
lczy tak uslugi wielu PAMow dla danego zadania autentykacji.
Us/luga jest zwykle znan nazw odpowiadajcej aplikacji: login i su s tu
dobrymi przykladami. Nazwa uslugi other jest zarezerwowana na tworzenie
regul domylnych.
Element rodzaj okrela grup zarzdzania, ktorej odpowiada regula. Jest
uywany do podania, z ktor z grup polczy ten modul. Poprawne wpisy to:
account; auth; password; i session. Znaczenie tych slow kluczowych
wyjaniono powyej.
Trzecie pole, kontrola, okrela zachowanie PAM-API po niepowodzeniu
modulu w procesie autentykacji. Prawidlowe wartoci tego pola to:
requisite - niepowodzenie takiego PAM powoduje natychmiastowe
zatrzymanie procesu autentykacji; required - niepowodzenie takiego PAM
bdzie prowadzilo PAM-API do zwrocenia bldu, lecz dopiero po tym, jak
pozostale zestawione na stosie moduly (dla tej uslugi i rodzaju PAM)
zostan wykonane; sufficient - sukces takiego modulu wystarcza do
zadowolenia wymaga autentykacji w stosie modulow (jeli wczeniej nie
powiodl si modul required, sukces tego jest ignorowany); optional -
sukces lub niepowodzenie tego modulu jest istotny tylko jeli jest
jedynym modulem na stosie zwizanym z t us/lug+rodzajem.
cieka-modu/lu - pelna nazwa pliku PAMu uywanego przez aplikacj
argumenty-modu/lu - lista rozdzielonych spacjami elementow, uywanych do
modyfikowania okrelonego zachowania danego PAMu. Argumenty takie s
opisywane dla konkretnych modulow.
PLIKI
/etc/pam.conf - plik konfiguracyjny
/etc/pam.d/ - katalog konfiguracyjny Linux-PAM. Jeli ten katalog
istnieje, /etc/pam.conf jest ignorowany.
/usr/lib/libpam.so.X - biblioteka dynamiczna
/usr/lib/security/*.so - PAMy
Zauwa, e aby odpowiada standardowi Linuksowego systemu plikow,
biblioteki i moduly twojego systemu mog si znajdowa odpowiednio w /lib
i /lib/security.
B/LDY
Typowe bldy generowane przez system Linux-PAM s zapisywane do
syslog(3).
ZGODNE Z
DCE-RFC 86.0, Padziernik 1995.
Zawiera dodatkowe wlaciwoci, rozwaane obecnie przez komitet DCE-RFC.
USTERKI
Nie s znane.
ZOBACZ TAKE
Trzy podrczniki Linux-PAM, dla Administrator'ow systemu, Tw'orc'ow
modu/l'ow, i Tw'orc'ow aplikacji.
INFORMACJE O T/LUMACZENIU
Powysze tlumaczenie pochodzi z nieistniejcego ju Projektu Tlumaczenia
Manuali i moe nie by aktualne. W razie zauwaenia ronic midzy powyszym
opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji,
prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.