Provided by: manpages-pl_20060617-4_all bug

NAZWA

       Linux-PAM  - Wstawialne moduly autentykacji dla Linuksa (ang. Pluggable
       Authentication Modules)

STRESZCZENIE

       /etc/pam.conf

OPIS

       Podrcznik ten ma na celu danie  krotkiego  wprowadzenia  do  Linux-PAM.
       Dla  dalszych  informacji,  czytelnik jest odsylany do Linux-PAM system
       administrators' guide.

       Linux-PAM  jest  systemem  bibliotek,   ktore   zajmuj   si   zadaniami
       autentykacji  aplikacji  (uslug)  systemu.  Biblioteka  daje stabilny i
       ogolny interfejs  (API),  ktoremu  podlegaj  w  zadaniach  autentykacji
       programy dajce przywileje (takie jak login(1) i su(1)).

       Podstawow  wlaciwoci  podejcia  PAM jest to, e natura autentykacji jest
       dynamicznie konfigurowalna.  Innymi  slowy,  administrator  systemu  ma
       pelne  pole  do popisu w wybieraniu sposobu autentykacji poszczegolnych
       aplikacji.   Ta  dynamiczna  konfiguracja  jest   ustawiana   zawartoci
       pojedynczego  pliku  konfiguracyjnego  Linux-PAM  czyli  /etc/pam.conf.
       Alternatywnie,   mona   wszystko   konfigurowa   pojedynczymi   plikami
       konfiguracyjymi,  zlokalizowanymi  w katalogu /etc/pam.d/.  Obecno tego
       katalogu spowoduje, e Linux-PAM zignoruje /etc/pam.conf.

       Z punktu widzenia administratora systemu, dla ktorego przeznaczony jest
       ten   podrcznik,   nie  jest  wane  zrozumienie  wewntrznego  dzialania
       biblioteki Linux-PAM.  Wan rzecz jest natomiast rozumienie,  e  plik(i)
       konfiguracyjne   definiuj  polczenia  midzy  aplikacjami  (us/lugami)  a
       wstawialnymi   modulami   autentykacji   (PAM'ami),    ktore    dokonuj
       rzeczywistych zada autentykacji.

       Linux-PAM  rozdziela  zadania  autentykacji  na  cztery niezalene grupy
       zarzdzania:  zarzdzanie  kontem   (account);   zarzdzanie   autentykacj
       (authentication);  zarzdzanie  haslami  (password);  i  zarzdzanie sesj
       (session).   (podwietlamy  skroty  uywane  dla  tych   grup   w   pliku
       konfiguracyjnym.)

       Po ustawieniu, grupy te bd si zajmowaly ronymi aspektami typowego dania
       zastrzeonej uslugi przez uytkownika:

       account - daj usludze moliwo weryfikacji konta:  czy  haslo  uytkownika
       jest przedawnione?; czy uytkownik ma prawo dostpu do danej uslugi?

       authentication  -  ustal  czy uytkownik jest tym, za ktorego si podaje.
       Zazwyczaj robi si to poprzez  zapytanie  uytkownika  o  pewn  odpowied,
       ktorej  musi  udzieli: jeli jeste tym, za kogo si podajesz, podaj prosz
       swoje haslo. Nie wszystkie autentykacje  s  tego  rodzaju,  istniej  te
       sprztowe    schematy    autentykacji    (takie   jak   uywanie   urzdze
       biometrycznych),  ktore  maj  odpowiednie   moduly,   nadajce   si   do
       bezproblemowego  podstawienia  za standardowe modele autentykacji - oto
       elastyczno Linux-PAM.

       password - zadaniem tej grupy jest odwieanie mechanizmow  autentykacji.
       Zazwyczaj  uslugi  takie  s  cile  zwizane  z  tymi  z  auth.  Niektore
       mechanizmy  autentykacji  dobrze  nadaj  si  do  odwieania  t   funkcj.
       Oczywistym  przykladem  jest standardowy UN*X-owy dostp oparty o haslo:
       prosz wstawi haslo zamienne.

       session - zadania tej grupy obejmuj rzeczy, ktore powinny  by  dokonane
       przed  daniem  uslugi  oraz  po  jej  wycofaniu.  Zadania takie to m.in
       obsluga ladow rewizyjnych i montowanie  katalogu  domowego  uytkownika.
       Grupa  obslugi  sesji  jest wana, gdy udostpnia zarowno hak otwierajcy,
       jak i zamykajcy modulow.

Plik(i) konfiguracyjne

       Gdy uruchamiana jest aplikacja wiadoma  przyznawania  uprawnie  poprzez
       bibliotek  Linux-PAM, aktywuje ona swoje powizanie z PAM-API. Aktywacja
       ta okrela wiele rzeczy,  wrod  ktorych  najwaniejsz  jest  przeczytanie
       plikow   konfiguracyjnych:   /etc/pam.conf,  lub  w  wypadku  istnienia
       odpowiedniego katalogu, pliki z /etc/pam.d/.

       Pliki te wymieniaj PAMy, ktore bd si zajmowaly  zadaniami  autentykacji
       danej  uslugi  i  odpowiednie  zachowanie  PAM-API  gdy  ktory  z PAMow
       zawiedzie.

       Skladnia pliku konfiguracyjnego /etc/pam.conf jest nastpujca. Plik jest
       zloony  z  listy regul, przy czym kada z nich zwykle jest umieszczana w
       pojedynczej linii, cho  moe  by  te  zloona  na  kocu  linii:  `\<LF>'.
       Komentarze s poprzedzane znakiem `#' i trwaj a do koca linii.

       Format  kadej  reguly  to  rozdzielona  spacjami  kolekcja elementow, z
       ktorych pierwsze trzy nie rozroniaj wielkoci liter:

          us/luga  rodzaj  kontrola  cieka-modu/lu  argumenty-modu/lu

       skladnia plikow z /etc/pam.d/ jest taka sama, z t ronic e  nie  ma  tam
       pol us/lug.  W tym wypadku, us/luga jest nazw pliku z /etc/pam.d/.  Nazwa
       pliku musi by zapisana malymi literami.

       Wan wlaciwoci Linux-PAM jest to, e mona zestawi na stosie wiele regul i
       lczy tak uslugi wielu PAMow dla danego zadania autentykacji.

       Us/luga  jest  zwykle znan nazw odpowiadajcej aplikacji: login i su s tu
       dobrymi przykladami. Nazwa uslugi other jest zarezerwowana na tworzenie
       regul domylnych.

       Element  rodzaj  okrela  grup zarzdzania, ktorej odpowiada regula. Jest
       uywany do podania, z ktor z grup polczy ten modul. Poprawne  wpisy  to:
       account;  auth;  password;  i  session.  Znaczenie tych slow kluczowych
       wyjaniono powyej.

       Trzecie pole, kontrola,  okrela  zachowanie  PAM-API  po  niepowodzeniu
       modulu  w  procesie  autentykacji.   Prawidlowe  wartoci  tego pola to:
       requisite  -  niepowodzenie   takiego   PAM   powoduje   natychmiastowe
       zatrzymanie  procesu autentykacji; required - niepowodzenie takiego PAM
       bdzie prowadzilo PAM-API do zwrocenia bldu, lecz dopiero  po  tym,  jak
       pozostale  zestawione  na  stosie moduly (dla tej uslugi i rodzaju PAM)
       zostan wykonane;  sufficient  -  sukces  takiego  modulu  wystarcza  do
       zadowolenia  wymaga  autentykacji  w  stosie modulow (jeli wczeniej nie
       powiodl si modul required, sukces tego  jest  ignorowany);  optional  -
       sukces  lub  niepowodzenie  tego  modulu  jest  istotny tylko jeli jest
       jedynym modulem na stosie zwizanym z t us/lug+rodzajem.

       cieka-modu/lu - pelna nazwa pliku PAMu uywanego przez aplikacj

       argumenty-modu/lu - lista rozdzielonych spacjami elementow, uywanych  do
       modyfikowania  okrelonego  zachowania  danego  PAMu.  Argumenty takie s
       opisywane dla konkretnych modulow.

PLIKI

       /etc/pam.conf - plik konfiguracyjny
       /etc/pam.d/ -  katalog  konfiguracyjny  Linux-PAM.   Jeli  ten  katalog
       istnieje, /etc/pam.conf jest ignorowany.
       /usr/lib/libpam.so.X - biblioteka dynamiczna
       /usr/lib/security/*.so - PAMy

       Zauwa,   e   aby  odpowiada  standardowi  Linuksowego  systemu  plikow,
       biblioteki i moduly twojego systemu mog si znajdowa odpowiednio w  /lib
       i /lib/security.

B/LDY

       Typowe   bldy   generowane  przez  system  Linux-PAM  s  zapisywane  do
       syslog(3).

ZGODNE Z

       DCE-RFC 86.0, Padziernik 1995.
       Zawiera dodatkowe wlaciwoci, rozwaane obecnie przez komitet DCE-RFC.

USTERKI

       Nie s znane.

ZOBACZ TAKE

       Trzy  podrczniki  Linux-PAM,  dla  Administrator'ow   systemu,   Tw'orc'ow
       modu/l'ow, i Tw'orc'ow aplikacji.

INFORMACJE O T/LUMACZENIU

       Powysze  tlumaczenie  pochodzi z nieistniejcego ju Projektu Tlumaczenia
       Manuali i moe nie by aktualne. W razie zauwaenia ronic  midzy  powyszym
       opisem  a  rzeczywistym  zachowaniem  opisywanego programu lub funkcji,
       prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.