問題タブ [pam]

Linux のユーザー名とパスワードを使用してユーザーを認証する必要があるプログラムを作成しました。私はそれがPAMで行うべきだと思います。google PAM モジュールから python3 を検索してみましたが、何も見つかりませんでした。PAM ライブラリを使用する準備はできていますか、それとも独自のライブラリを作成してみますか? PAM の使用は、考慮する必要のある特別なセキュリティ リスクですか?

python3 spwd クラスを使用してユーザーを認証できることはわかっていますが、ルート アクセスでプログラムを実行する必要があるため、それを使用したくありません。

OpenID を使用して認証を行うことができる PAM モジュールを探しています。私の考えは、gmail アカウントとパスワードを使用して Linux ボックスにログオンしたいということです。Google Code にオープン ソース プロジェクトがあり、私がやりたいことを実行しているように見えますが、ダウンロードできるコードがありません。

非常に多くの例や実装があるのを見ましたが、それらはすべて Web アプリに関するものです。Web ベース以外の OpenID アプリケーションは世界中にありますか? 非 Web ベースの OpenID アプリケーションを作成することは技術的に可能ですか? 私はそれが可能であるべきだと単純に考えています。ブラウザーが OpenID プロバイダーに送信するパケットをエミュレートして、結果を返すことができます。Linux ボックスがインターネットに接続されている限り、OpenID を使用してログインできるはずです。

OpenID PAM モジュールの作成方法に関するコメント、提案、または指針を歓迎します。

ありがとう！

ホストと NIS にあるユーザー名の簡単な認証を行う必要があります。このコードは Python で書いています。
PAM を使用して認証を行ってみました。このために、Python Pam という Python モジュールをダウンロードしました。

私が使用するコード：

<service>/etc/pam.d/ で作成した構成ファイルは どこにありますか
ファイルには次のコードが含まれています

このコードは、正しい答えを与える特定のホストでは機能しますが、他のホストでは機能しません<service>。

特定のホストでは、正しいパスワードに対して依然として False を返します。

なぜこれが機能しないのか、誰にもわかりません。pam やモジュールを使用する必要はありません。ユーザー名を認証するだけのPythonから呼び出すことができるUNIXのコマンドはありますか? Linux、Solaris、HP-UX、AIX を含むすべての UNIX ベースのシステムで動作することが望ましいです。
ありがとう

ssh用のプラグゲーブル認証モジュールを書いています。ユーザー名とパスワードの確認後、ユーザーにアクセスを許可する前に、いくつかの追加情報の入力を求めるプロンプトを探しています。誰かが私がこれをどのように行うべきかを提案できますか？

実際、SSHの後で、他のいくつかのサービスにも同じように拡張したいと思います。だから私はいくつかのPAMモジュールレベルの提案を見ています。

[編集]解決策：PAMが提供する会話機能を使用しました。これは、PAM対応アプリケーションとモジュール間の通信に使用されます。

ありがとう、GG

私は、UNIXユーザー/グループデータベースをハドソンのセキュリティレルムとして使用しようとしています。Linuxサーバーはユーザー管理にNISを使用しています。私のアカウントはssh経由でハドソンサーバーにログインできます。

また、ハドソンサーバーはグループ「shadow」のメンバーでもあるユーザー「hudson」によって実行されているため、ハドソンは/ etc/shadowを読み取ることができます。そして、「テスト」ボタンを使用して構成をテストしました。ハドソンは、それがうまく機能していると言っています。

しかし、UNIXアカウントとパスワードを使用してハドソンサーバーにログインすることはできません。

そして、ハドソンのログで以下のJava例外を見つけました。

1月17日に更新、

ホストはRHEL4.5で、ユーザーとグループのシャドウを作成してから、グループのシャドウにハドソンを追加しました。

また、別のRHEL4.8ホストでhudsonをセットアップしようとしました。今回はハドソンをルートで走らせました、

しかし、私はまだUNIXユーザー/パスワードグループを機能させることができません。また、/ var / log/messagesと/var/ log/secureにpamエラーメッセージが見つかりません。実際に認証を取得するためにpamを使用する前に、hudsonが例外をスローするようです。Red Hat Enterprise Linux WSリリース4（Nahant Update 8）

pam_passwdqc.so を使用して潜在的なパスワードが passwd の下で muster を通過するのに十分強力であるかどうかを判断する単純な C プログラムを作成することは可能ですか (また、インターフェースのドキュメントはどこにありますか)?

ユーザーが特定のMLS感度レベルでログインできるかどうかを決定するロジックを理解しようとしています。最初は、pam_selinux.soが/ etc / selinux /.../ seusersファイルを読み取って、どのユーザーがどのseuserにバインドされているかを理解し、MLS範囲の上位コンポーネント以下の感度にユーザーを制限しているのではないかと思いました。

ただし、ソースコードを調べた後、ユーザーにセキュリティコンテキストをデフォルトのコンテキストから変更するかどうかを尋ねた後、pam_selinuxは、カーネルポリシーを呼び出して、新しいMLSラベルが適切かどうかを確認します。

次のコードは、Ubuntulibpam-modules1.1.1-4ubuntu2パッケージのmodules/pam_selinux/pam_selinux.cにあります。

このチェックは、security_compute_av（）呼び出しで見られるように、カーネルポリシーで実際にチェックされているように見えます。これにより、SELinuxログインについての私の理解が頭に浮かびました。

だから、誰かが説明してもらえますか？

• ユーザーが選択したログインセキュリティレベルの有効性はどのように決定されますか？

• そのロジックは、ポリシー、pam_selinux、およびカーネルにどの程度正確に実装されていますか？

現在、私はタイプエンフォースメントマルチ、カテゴリセキュリティ、またはロールベースのアクセス制御にはあまり興味がないので、MLSの感度に影響を与えない場合、これらのコンポーネントがどのように検証されるかを説明する必要はありません。

誰かがこれについて教えてもらえますか.../etc/pam.dのログインモジュールに似たpamモジュールを作成したい

重複の可能性:
pam モジュールの作成方法??

私を助けてください。顔認証を利用したログイン用アプリを作りたい...

もう 1 つの認証レイヤーを適用するために、SSH 用の PAM モジュールを作成しています。そのためには、PAM モジュールの close_session() および pam_sm_setcred() 関数に端末 ID が必要ですが、OpenSSH はそれを「ssh」にハードコードしました。端末 ID を適切に設定できるように、OpenSSh コードにいくつかの変更を加えました。これらの変更は次のとおりです。

session.c の session_pty_req(Session *s) 関数に do_pam_set_tty() を追加し、monitor_wrap.c の mm_pty_allocate() 関数に do_pam_set_tty() を追加しました

ルートでは問題なく動作し、pam_sm_cred() および pam_sm_close_session() 関数で適切な tty を取得します。

しかし、同じコードを使用して、root 以外のアカウントを介して ssh を試行すると、pam_sm_close_session() で tty が取得されますが、pam_sm_cred() では取得されません。root アカウントと非 root アカウントで ssh の動作が異なる理由がわかりません。

root アカウントと非 root アカウントの SSH 動作をトリガーするものはありますか、またはここで何が問題なのかを誰かが教えてくれますか? どうすればよいのかわかりません。誰かが私にいくつかの指針を与えることができれば素晴らしいことです.