問題タブ [pam]

ファイルからパスワードを読み取り、ユーザーがパスワードを入力せずにログインできるようにする pam モジュールを作成しようとしています。

[編集: ファイルは外部デバイスに保存されます。(二要素認証を満たそうとしています)。これは非常に安全ではないように聞こえるかもしれませんが、ファイルは適切な暗号化アルゴリズムで暗号化されます。鍵交換と暗号化/復号化は問題ではありません]

外部デバイスが接続されている場合、ユーザーはログイン画面 (KDM) で自分のユーザー名を入力するだけで、PAM モジュールはデバイスから必要なパスワードを取得し、ユーザーをログインさせます。

私は PAM トピックの初心者です。いくつかの調査を行いましたが、それが可能かどうか (その方法である場合) を見つけることができませんでした。

この問題を解決する方法をご指摘いただければ幸いです。

Autotoolsを使用するほとんどのパッケージは、ユーザーレベルのユーティリティであるか、少なくとも完全に下回るのに十分なレベル/usr、または完全に下回るのに十分な低さ/usrです。

、に/binいくつかのファイルをインストールする必要があるパッケージを書いています。これは、従来これらの場所の下に配置されていたいくつかの既存のバイナリを置き換えます。/sbin/usr/bin/usr/sbin

また、にPAMモジュールをインストールする必要があります/lib/security（明らか/usr/lib/securityに機能しません）。

ここで問題は次のとおりです。デフォルトのconfigureのプレフィックスは。のよう/usr/localです。そのデフォルトを自分で制御できますconfigure.ac。そして、少なくともGentooLinuxのデフォルトはです--prefix=/usr。これは、私が設定したデフォルトを上書きするため、問題になりますconfigure.ac。

他の同様のパッケージがこの問題をどのように処理しているかを簡単に調べました。これが私の発見です：

• bash-4.1はにインストールされているよう/usr/binで、ディストリビューションビルドスクリプトはbashバイナリをに移動します/bin
• Linux-PAMにはハックがあり、configure.acプレフィックスがの場合、そのファイルの一部に/usr使用/sbinされます。/libまた、デフォルトのプレフィックスをに設定します/usr。ユーザーが別のを渡すとどうなるかわかりません--prefix。
• shadow-utilsプレフィックスが。の場合に設定さexec_prefixれます。次に、を参照し、を指すように宣言されているため、を参照します。""/usrbin_PROGRAMS/binubindir${prefix}/binubin_PROGRAMS/usr/bin

私の質問は次のとおりです。

• 他のディストリビューションのデフォルトは--prefix何ですか？私はそれが常にあると合理的に仮定できます/usrか？現時点では、Linuxについてのみ懸念しており、BSDについては懸念していません。
• 上記のソリューションのどれが最もクリーンだと思われますか？より良い解決策がありますか？
• 上記の解決策の潜在的な問題は何ですか？それらの問題に対するいくつかの解決策はありますか？
• すべてをインストールして/bin互換性のあるシンボリックリンクを作成しても問題ありません。問題が簡単になりますか？
• 私の要件をより適切に処理する低レベルのシステムユーティリティに受け入れられる他の一般的なビルドシステムはありますか？

私がやろうとしていることの説明を気軽に求めてください。交換するものとの互換性を維持したい場合、バイナリAとBを1つずつ出荷していた場合は/sbin、/usr/binそれらの場所に交換を配置するか、少なくともシンボリックリンクを設定する必要があると思います。PAMモジュールのインストール場所も固定されています。

私は明らかに有用な答えに賛成するつもりです。私は「受け入れられた答え」です。私は主に「何をすべきか」というアドバイス、問題の最もクリーンな解決策、そして該当する場合はオプションと欠点、長所と短所の議論を探しています。

PAM を使用して認証している場合pam_unix、syslog タグで使用するのは標準/ベスト プラクティスですか? pam_unix以下のログに追加したのは誰ですか: 認証に使用された vsftpd プロセスまたは PAM モジュール自体?

例えば-

IAM を使用して、LDAP、NIS などと同様に PAM モジュールを介して、EC2 でホストされている UNIX ホストのユーザー アカウントを管理することはできますか?

私の目標は、シングル サインオン ソリューションをセットアップするオーバーヘッドなしに、EC2 ホストでホスト認証を一元化する手段を持つことです。

RHEL Linux ホストで gitolite をセットアップしました。これは機能しており、ssh キーを受け入れるという役割を果たしています。

リポジトリの管理ツールとして tortoisegit を使用するようユーザーに指示しました。これは、tortoisegit に ssh キー ジェネレーターと pageant が付属しているためです。ページェントが実行され、キーが読み込まれると、正常に動作します。

しかし。

一部のユーザーはキーをロードするのを忘れ、gitolite ユーザー パスワードを求めるポップアップが表示されます。ダイアログのタイトル:TortoisePlik コンテンツ: git@servername.com パスワード: ダイアログの画像: http://i.imgur.com/Vbbk7.png

pam や sshd のように、サーバー側の構成を変更してこのダイアログを拒否する方法はありますか?

PHPでPAM認証を使用するスクリプトに取り組んでいます。認証しようとすると、ファイルを所有しているユーザーには問題なく機能しますが、ログインしようとした他のユーザーは失敗します。

ファイルを所有しているユーザーだけでなく、システムアカウントを持っているユーザーを認証するにはどうすればよいですか？

これは、php用の私のpam構成のコピーです。

common-authに含まれるもの：

common-accountに含まれるもの：

共通セッションには次のものが含まれます。

これは、私が認証要求を行う方法の例です。

ユーザーのパスワードをリセットするには、どの PAM 呼び出しを行う必要がありますか? 私はそれを把握することはできません。

バックグラウンド：

私は組み込みのLinuxデバイスに取り組んでいます。顧客はこのデバイスをインストールし、ユーザー アカウントを作成します。これらのセカンダリ ユーザー アカウントのいずれかがロックアウトされた場合、またはユーザーがパスワードを忘れた場合、ユーザー #1 がユーザー #2 のパスワードをリセットできる方法が必要です。PAM への変換は新しいもので、現在切り替え中です。ユーザーを認証するために私が行う呼び出しは次のとおりです。

私はpam_chauthtok()自分のパスワードを変更することについて理解していません。-- それまたは別の同様の呼び出しを使用して、別のユーザー アカウントに新しいパスワードを割り当てることができます。

OpenSSH 経由でログインしようとしているユーザーがすでにログインしているかどうかを確認し、2 回目のログインを拒否するかどうかを確認する PAM モジュールを用意することは可能ですか?

複数のログインセッションを防ぐために他のいくつかの方法を試しましたが、何も機能していません。カスタム PAM モジュールを使用してこれが実行可能であることを誰かが確認できれば、非常に感謝しています。

sftp 構成をコメントアウトすると、limits.conf が正常に機能することに気付きました。

しかし、それはsftpを壊します。

bashスクリプトでユーザーパスワードが正しいことを確認することはできますか? もしそうなら、その方法を教えてください。ありがとうございました

認証時に各セッション (デスクトップ セッションなど) を検証し、いくつかの基準に基づいて許可または禁止するこの気の利いた PAM モジュールがあります。Windows 7でも同じことをしたいと思います。

さて、これはばかげているか些細なことのように聞こえるかもしれませんが、私は Windows システムの使い方を本当に知りません。ユーザーがセッションを開始しようとします。)