wiki/HowtoPAM.md

PAM (Pluggable Authentication Modules) est un ensemble de librairies qui fournit aux programmes un moyen d'authentification unifié indépendant de la méthode d'authentification configurée sur le système : mots de passe locaux, LDAP...

La configuration de PAM pour les applications qui l'utilisent se situe dans `/etc/pam.d/*`. Chaque application a son fichier de configuration, par exemple `/etc/pam.d/sshd`.


# Syntaxe des fichiers de configuration

Documentation : <https://linux.die.net/man/5/pam.d>

La configuration est constituée de lignes qui ont la forme :

~~~
type control_flag module_path [module_arguments]
~~~

Commentaires :

* type : Module type/context/interface.
* control_flag : Indique à PAM le comportement à adopter en cas d'échec de l'authentification.
  * Syntaxe simple (historique) : un seul mot-clé.
  * Syntaxe avancée : liste de paires `value=action` entre crochets `[ ]` et séparée par des espaces.
* module_path : Chemin du module pam à utiliser (souvent un .so). Par défaut, PAM les cherche dans `/lib/security/` ou `/lib64/security/` selon l'architecture.
* module-arguments : Arguments passés au module.


# Utilisation concrète

## Vérifier si un programme est capable d'utiliser PAM

Par exemple pour `sshd` : 

~~~
$ ldd /usr/sbin/sshd | grep libpam.so
~~~

## Ne pas envoyer les messages de connexion SSH d'un utilisateur

Dans `/etc/pam.d/sshd`, juste avant la ligne :

~~~
# Standard Un*x session setup and teardown.
@include common-session
~~~

On ajoute :

~~~
session [success=ok default=ignore] pam_succeed_if.so quiet service in sshd user = my_user
~~~

Commentaires :

* `quiet` signale à PAM de ne pas logger les messages quand `sshd user = my_user`
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								PAM (Pluggable Authentication Modules) est un ensemble de librairies qui fournit aux programmes un moyen d'authentification unifié indépendant de la méthode d'authentification configurée sur le système : mots de passe locaux, LDAP...
 								La configuration de PAM pour les applications qui l'utilisent se situe dans `/etc/pam.d/*`. Chaque application a son fichier de configuration, par exemple `/etc/pam.d/sshd`.
 								# Syntaxe des fichiers de configuration
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								Documentation : <https://linux.die.net/man/5/pam.d>
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								La configuration est constituée de lignes qui ont la forme :
 								~~~
-												Corrections syntaxe

											
										
										
											2021-08-27 14:52:16 +02:00
+								type control_flag module_path [module_arguments]
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								~~~
 								Commentaires :
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								* type : Module type/context/interface.
 								* control_flag : Indique à PAM le comportement à adopter en cas d'échec de l'authentification.
 								  * Syntaxe simple (historique) : un seul mot-clé.
 								  * Syntaxe avancée : liste de paires `value=action` entre crochets `[ ]` et séparée par des espaces.
 								* module_path : Chemin du module pam à utiliser (souvent un .so). Par défaut, PAM les cherche dans `/lib/security/` ou `/lib64/security/` selon l'architecture.
 								* module-arguments : Arguments passés au module.
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
 								# Utilisation concrète
 								## Vérifier si un programme est capable d'utiliser PAM
 								Par exemple pour `sshd` :
-												Corrections syntaxe

											
										
										
											2021-08-27 14:52:16 +02:00
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								~~~
 								$ ldd /usr/sbin/sshd | grep libpam.so
 								~~~
 								## Ne pas envoyer les messages de connexion SSH d'un utilisateur
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								Dans `/etc/pam.d/sshd`, juste avant la ligne :
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
 								~~~
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								# Standard Un*x session setup and teardown.
 								@include common-session
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								~~~
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								On ajoute :
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
 								~~~
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								session [success=ok default=ignore] pam_succeed_if.so quiet service in sshd user = my_user
-												Création de la page

											
										
										
											2021-08-24 18:19:36 +02:00
+								~~~
 								Commentaires :
-												Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret

											
										
										
											2021-09-02 10:15:26 +02:00
+								* `quiet` signale à PAM de ne pas logger les messages quand `sshd user = my_user`