Provided by: manpages-de_4.21.0-2_all 
BEZEICHNUNG
PAM, pam - Zusammensteckbare Authentifizierungsmodule für Linux
BESCHREIBUNG
Dieses Handbuch ist dazu gedacht, eine schnelle Einführung in Linux-PAM bereitzustellen.
Für weitere Informationen wird der Leser auf das Linux-PAM system administrators' guide
(Linux-Pam-Anleitung für Systemadministratoren) hingewiesen.
Linux-PAM ist ein System von Bibliotheken, die die Authentifizierungsaufgaben von
Anwendungen (Diensten) des Systems handhaben. Die Bibliothek stellt eine stabile
allgemeine Schnittstelle (Anwendungsprogrammierschnittstelle - API) bereit, an die
Privilegien-vergebende Programme (wie login(1) und su(1)) verweisen, um normale
Authentifizierungsaufgaben durchzuführen.
Die Hauptfunktionalität des PAM-Ansatzes besteht darin, dass die Art der Authentifizierung
dynamisch konfigurierbar ist. Mit anderen Worten, der Systemadministraor kann frei
entscheiden, wie einzelne Dienste-bereitstellende Anwendungen die Benutzer
authentifizieren. Diese dynamische Konfiguration wird durch die Inhalte einer einzelnen
Konfigurationsdatei /etc/pam.conf bereitgestellt. Alternativ kann die Konfiguration durch
einzelne, im Verzeichnis /etc/pam.d/ befindliche Dateien, erfolgen. Die Existenz dieses
Verzeichnisses führt dazu, dass Linux-PAM /etc/pam.conf ignoriert.
Lieferanten-bereitgestellte PAM-Konfigurationsdateien können im Systemverzeichnis
/usr/lib/pam.d/ oder einem konfigurierbaren Lieferanten-spezifischen Verzeichnis anstelle
des Maschinenkonfigurationsverzeichnisses /etc/pam.d/ installiert sein. Falls keine
Maschinenkonfigurationsdatei gefunden wird, wird die vom Lieferanten bereitgestellte Datei
verwandt. Alle Dateien in /etc/pam.d/ setzen Dateien mit dem gleichen Namen in anderen
Verzeichnissen außer Kraft.
Aus Sicht des Systemadministrators, für den dieses Handbuch bereitgestellt wird, steht das
interne Verhalten der Bibliothek Linux-PAM nicht im Fokus. Am wichtigsten ist es zu
erkennen, dass die Konfigurationsdatei(en) die Verbindung zwischen Anwendungen (Diensten)
und den zusammensteckbaren Authentifizierungsmodulen (PAMs), die die eigentlichen
Authentifizierungsaufgaben erledigen, definieren.
Linux-PAM trennt die Aufgaben der Authentifizierung in vier unabhängige
Verwaltungsgruppen: Kontenverwaltung (account), Authentifizierungsverwaltung (auth,
Passwortverwaltung (password) und Sitzungsverwaltung (session). Die in der
Konfigurationsdatei verwandten Abkürzungen sind in Klammern hervorgehoben.
In einfachen Worten – Diese Gruppen kümmern sich um verschiedene Aspekte einer typischen
Benutzeranfrage für einen beschränkten Dienst:
account - Bereitstellung von Diensten der Art der Kontenprüfung: Ist das Passwort des
Benutzers abgelaufen? Darf der Benutzer auf den angefragten Dienst zugreifen?
auth - Authentifizierung eines Benutzers und Einrichtung seiner
Benutzerzugangsberechtigungen. Typischerweise erfolgt dies über eine Art von
Challenge-Response-Anfrage (Aufforderung-Antwort-Anfrage), die der Benutzer erfüllen muss:
Ob Sie derjenige sind, der Sie zu sein behaupten, dann geben Sie bitte Ihr Passwort ein.
Nicht alle Authentifizierungstypen sind von dieser Art, es existieren Hardware-basierte
Authentifizierungsschemata (unter der Verwendung von Smartcards und biometrischen
Geräten). Mit geeigneten Modulen können diese nahtlos als Ersatz für stärker
standardisierte Ansätze der Authentifizierung ersetzt werden - dies ist die Flexibilität
von Linux-PAM.
password - Diese Gruppe verantwortet die Aktualisierung der Authentifizierungsmechanismen.
Typischerweise hängen diese Dienste eng mit denen der Gruppe auth zusammen. Einige
Authentifizierungsmechanismen können natürlicherweise gut mit einer solchen Funktion
aktualisiert werden. Der normale passwortbasierte Zugriff in UN*X ist das offensichtliche
Beispiel: Bitte geben Sie ein neues Passwort ein.
session - Diese Gruppe übernimmt die Aufgabe, Dinge zu erledigen, die vor der Freigabe
eines Dienstes und nachdem dieser zurückgezogen wurde, erledigt werden sollten. Zu diesen
Aufgaben gehören die Auditnachweise und das Einhängen des Home-Verzeichnisses des
Benutzers. Die Verwaltungsgruppe session ist wichtig, da sie sowohl einen eröffnenden als
auch einen schließenden Einsprungpunkt für Module bereitstellt, die den Dienst für den
Benutzer beeinflussen.
DATEIEN
/etc/pam.conf
die Konfigurationsdatei
/etc/pam.d
das Konfigurationsverzeichnis von Linux-PAM Grundsätzlich gilt, dass die Datei
/etc/pam.conf ignoriert wird, wenn dieses Verzeichnis vorhanden ist.
/usr/lib/pam.d
das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d setzen
die Dateien mit dem gleichen Namen in diesem Verzeichnis außer Kraft.
<Lieferantenverz>/pam.d
das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d und
/usr/lib/pam.d setzen die Dateien mit dem gleichen Namen in diesem Verzeichnis außer
Kraft. Nur verfügbar, falls Linux-PAM mit aktiviertem »vendordir« kompiliert wurde.
FEHLER
Normalerweise werden vom Linux-PAM-Bibliothekssystem erstellte Fehler in syslog(3)
geschrieben.
KONFORM ZU
DCE-RFC 86.0, Oktober 1995. Enthält zusätzliche Funktionalitäten, bleibt aber
rückwärtskompatibel zu diesem RFC.
SIEHE AUCH
pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(7)
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.