Provided by: manpages-de_4.21.0-2_all bug

BEZEICHNUNG

       PAM, pam - Zusammensteckbare Authentifizierungsmodule für Linux

BESCHREIBUNG

       Dieses Handbuch ist dazu gedacht, eine schnelle Einführung in Linux-PAM bereitzustellen.
       Für weitere Informationen wird der Leser auf das Linux-PAM system administrators' guide
       (Linux-Pam-Anleitung für Systemadministratoren) hingewiesen.

       Linux-PAM ist ein System von Bibliotheken, die die Authentifizierungsaufgaben von
       Anwendungen (Diensten) des Systems handhaben. Die Bibliothek stellt eine stabile
       allgemeine Schnittstelle (Anwendungsprogrammierschnittstelle - API) bereit, an die
       Privilegien-vergebende Programme (wie login(1) und su(1)) verweisen, um normale
       Authentifizierungsaufgaben durchzuführen.

       Die Hauptfunktionalität des PAM-Ansatzes besteht darin, dass die Art der Authentifizierung
       dynamisch konfigurierbar ist. Mit anderen Worten, der Systemadministraor kann frei
       entscheiden, wie einzelne Dienste-bereitstellende Anwendungen die Benutzer
       authentifizieren. Diese dynamische Konfiguration wird durch die Inhalte einer einzelnen
       Konfigurationsdatei /etc/pam.conf bereitgestellt. Alternativ kann die Konfiguration durch
       einzelne, im Verzeichnis /etc/pam.d/ befindliche Dateien, erfolgen. Die Existenz dieses
       Verzeichnisses führt dazu, dass Linux-PAM /etc/pam.conf ignoriert.

       Lieferanten-bereitgestellte PAM-Konfigurationsdateien können im Systemverzeichnis
       /usr/lib/pam.d/ oder einem konfigurierbaren Lieferanten-spezifischen Verzeichnis anstelle
       des Maschinenkonfigurationsverzeichnisses /etc/pam.d/ installiert sein. Falls keine
       Maschinenkonfigurationsdatei gefunden wird, wird die vom Lieferanten bereitgestellte Datei
       verwandt. Alle Dateien in /etc/pam.d/ setzen Dateien mit dem gleichen Namen in anderen
       Verzeichnissen außer Kraft.

       Aus Sicht des Systemadministrators, für den dieses Handbuch bereitgestellt wird, steht das
       interne Verhalten der Bibliothek Linux-PAM nicht im Fokus. Am wichtigsten ist es zu
       erkennen, dass die Konfigurationsdatei(en) die Verbindung zwischen Anwendungen (Diensten)
       und den zusammensteckbaren Authentifizierungsmodulen (PAMs), die die eigentlichen
       Authentifizierungsaufgaben erledigen, definieren.

       Linux-PAM trennt die Aufgaben der Authentifizierung in vier unabhängige
       Verwaltungsgruppen: Kontenverwaltung (account), Authentifizierungsverwaltung (auth,
       Passwortverwaltung (password) und Sitzungsverwaltung (session). Die in der
       Konfigurationsdatei verwandten Abkürzungen sind in Klammern hervorgehoben.

       In einfachen Worten – Diese Gruppen kümmern sich um verschiedene Aspekte einer typischen
       Benutzeranfrage für einen beschränkten Dienst:

       account - Bereitstellung von Diensten der Art der Kontenprüfung: Ist das Passwort des
       Benutzers abgelaufen? Darf der Benutzer auf den angefragten Dienst zugreifen?

       auth - Authentifizierung eines Benutzers und Einrichtung seiner
       Benutzerzugangsberechtigungen. Typischerweise erfolgt dies über eine Art von
       Challenge-Response-Anfrage (Aufforderung-Antwort-Anfrage), die der Benutzer erfüllen muss:
       Ob Sie derjenige sind, der Sie zu sein behaupten, dann geben Sie bitte Ihr Passwort ein.
       Nicht alle Authentifizierungstypen sind von dieser Art, es existieren Hardware-basierte
       Authentifizierungsschemata (unter der Verwendung von Smartcards und biometrischen
       Geräten). Mit geeigneten Modulen können diese nahtlos als Ersatz für stärker
       standardisierte Ansätze der Authentifizierung ersetzt werden - dies ist die Flexibilität
       von Linux-PAM.

       password - Diese Gruppe verantwortet die Aktualisierung der Authentifizierungsmechanismen.
       Typischerweise hängen diese Dienste eng mit denen der Gruppe auth zusammen. Einige
       Authentifizierungsmechanismen können natürlicherweise gut mit einer solchen Funktion
       aktualisiert werden. Der normale passwortbasierte Zugriff in UN*X ist das offensichtliche
       Beispiel: Bitte geben Sie ein neues Passwort ein.

       session - Diese Gruppe übernimmt die Aufgabe, Dinge zu erledigen, die vor der Freigabe
       eines Dienstes und nachdem dieser zurückgezogen wurde, erledigt werden sollten. Zu diesen
       Aufgaben gehören die Auditnachweise und das Einhängen des Home-Verzeichnisses des
       Benutzers. Die Verwaltungsgruppe session ist wichtig, da sie sowohl einen eröffnenden als
       auch einen schließenden Einsprungpunkt für Module bereitstellt, die den Dienst für den
       Benutzer beeinflussen.

DATEIEN

       /etc/pam.conf
           die Konfigurationsdatei

       /etc/pam.d
           das Konfigurationsverzeichnis von Linux-PAM Grundsätzlich gilt, dass die Datei
           /etc/pam.conf ignoriert wird, wenn dieses Verzeichnis vorhanden ist.

       /usr/lib/pam.d
           das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d setzen
           die Dateien mit dem gleichen Namen in diesem Verzeichnis außer Kraft.

       <Lieferantenverz>/pam.d
           das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d und
           /usr/lib/pam.d setzen die Dateien mit dem gleichen Namen in diesem Verzeichnis außer
           Kraft. Nur verfügbar, falls Linux-PAM mit aktiviertem »vendordir« kompiliert wurde.

FEHLER

       Normalerweise werden vom Linux-PAM-Bibliothekssystem erstellte Fehler in syslog(3)
       geschrieben.

KONFORM ZU

       DCE-RFC 86.0, Oktober 1995. Enthält zusätzliche Funktionalitäten, bleibt aber
       rückwärtskompatibel zu diesem RFC.

SIEHE AUCH

       pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(7)

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
       <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
       Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
       Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.