Finalisation de la création de la page, précisions sur la syntaxe, correction exemple concret
This commit is contained in:
whirigoyen
parent
39ff455f87
commit
f6f500867e
31
HowtoPAM.md
31
HowtoPAM.md
|
|
@ -1,5 +1,3 @@
|
||||||
[Work in progress]
|
|
||||||
|
|
||||||
PAM (Pluggable Authentication Modules) est un ensemble de librairies qui fournit aux programmes un moyen d'authentification unifié indépendant de la méthode d'authentification configurée sur le système : mots de passe locaux, LDAP...
|
PAM (Pluggable Authentication Modules) est un ensemble de librairies qui fournit aux programmes un moyen d'authentification unifié indépendant de la méthode d'authentification configurée sur le système : mots de passe locaux, LDAP...
|
||||||
|
|
||||||
La configuration de PAM pour les applications qui l'utilisent se situe dans `/etc/pam.d/*`. Chaque application a son fichier de configuration, par exemple `/etc/pam.d/sshd`.
|
La configuration de PAM pour les applications qui l'utilisent se situe dans `/etc/pam.d/*`. Chaque application a son fichier de configuration, par exemple `/etc/pam.d/sshd`.
|
||||||
|
|
@ -7,6 +5,8 @@ La configuration de PAM pour les applications qui l'utilisent se situe dans `/et
|
||||||
|
|
||||||
# Syntaxe des fichiers de configuration
|
# Syntaxe des fichiers de configuration
|
||||||
|
|
||||||
|
Documentation : <https://linux.die.net/man/5/pam.d>
|
||||||
|
|
||||||
La configuration est constituée de lignes qui ont la forme :
|
La configuration est constituée de lignes qui ont la forme :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
|
|
@ -15,10 +15,12 @@ type control_flag module_path [module_arguments]
|
||||||
|
|
||||||
Commentaires :
|
Commentaires :
|
||||||
|
|
||||||
* type :
|
* type : Module type/context/interface.
|
||||||
* control_flag :
|
* control_flag : Indique à PAM le comportement à adopter en cas d'échec de l'authentification.
|
||||||
* module_path :
|
* Syntaxe simple (historique) : un seul mot-clé.
|
||||||
* module_arguments : arguments passés pour contrôler le module
|
* Syntaxe avancée : liste de paires `value=action` entre crochets `[ ]` et séparée par des espaces.
|
||||||
|
* module_path : Chemin du module pam à utiliser (souvent un .so). Par défaut, PAM les cherche dans `/lib/security/` ou `/lib64/security/` selon l'architecture.
|
||||||
|
* module-arguments : Arguments passés au module.
|
||||||
|
|
||||||
|
|
||||||
# Utilisation concrète
|
# Utilisation concrète
|
||||||
|
|
@ -33,20 +35,19 @@ $ ldd /usr/sbin/sshd | grep libpam.so
|
||||||
|
|
||||||
## Ne pas envoyer les messages de connexion SSH d'un utilisateur
|
## Ne pas envoyer les messages de connexion SSH d'un utilisateur
|
||||||
|
|
||||||
Dans `/etc/pam.d/sshd`, on ajoute :
|
Dans `/etc/pam.d/sshd`, juste avant la ligne :
|
||||||
|
|
||||||
~~~
|
|
||||||
session [success=done default=ignore] pam_succeed_if.so quiet service in sshd user = my_user
|
|
||||||
~~~
|
|
||||||
|
|
||||||
Juste avant la ligne :
|
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# Standard Un*x session setup and teardown.
|
# Standard Un*x session setup and teardown.
|
||||||
@include common-session
|
@include common-session
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
On ajoute :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
session [success=ok default=ignore] pam_succeed_if.so quiet service in sshd user = my_user
|
||||||
|
~~~
|
||||||
|
|
||||||
Commentaires :
|
Commentaires :
|
||||||
|
|
||||||
* `quiet` signale à PAM ne pas logger les messages quand `sshd user = my_user`
|
* `quiet` signale à PAM de ne pas logger les messages quand `sshd user = my_user`
|
||||||
* `success=done` signale à PAM d'appliquer la règle si `pam_succeed_if.so` renvoie
|
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue