PAM認証の設定

カテゴリ:PAM

PAMは認証を一元化するための仕組みです。

設定ファイルの場所

PAMの設定ファイルは/etc/pam.d/配下に各アプリケーションごとにフォルダ分けされて格納されています。
※/etc/pam.d/ディレクトリが存在しない場合のみ/etc/pam.confを参照します。
# ls -la /etc/pam.d
合計 108
drwxr-xr-x.  2 root root 4096  7月 21 01:00 2014 .
drwxr-xr-x. 64 root root 4096  7月 27 11:48 2014 ..
-rw-r--r--.  1 root root  192  2月 22 14:02 2013 chfn
-rw-r--r--.  1 root root  192  2月 22 14:02 2013 chsh
-rw-r--r--.  1 root root  232  2月 22 09:16 2013 config-util
-rw-r--r--.  1 root root  293  7月 19 13:55 2011 crond
-rw-r--r--.  1 root root  167  7月 21 01:00 2014 dovecot
lrwxrwxrwx.  1 root root   19  7月 19 23:25 2014 fingerprint-auth -> fingerprint-auth-ac
-rw-r--r--.  1 root root  659  7月 19 23:25 2014 fingerprint-auth-ac
-rw-r--r--.  1 root root  728  2月 22 14:02 2013 login
-rw-r--r--.  1 root root  172  2月 22 14:38 2013 newrole
-rw-r--r--.  1 root root  154  2月 22 09:16 2013 other
-rw-r--r--.  1 root root  146  2月 22 20:48 2012 passwd
lrwxrwxrwx.  1 root root   16  7月 19 23:25 2014 password-auth -> password-auth-ac
-rw-r--r--.  1 root root  896  7月 19 23:25 2014 password-auth-ac
-rw-r--r--.  1 root root  613  2月 22 14:02 2013 remote
-rw-r--r--.  1 root root  167  2月 22 14:38 2013 run_init
-rw-r--r--.  1 root root  143  4月 17 22:03 2012 runuser
-rw-r--r--.  1 root root  105  4月 17 22:03 2012 runuser-l
lrwxrwxrwx.  1 root root   17  7月 19 23:25 2014 smartcard-auth -> smartcard-auth-ac
-rw-r--r--.  1 root root  711  7月 19 23:25 2014 smartcard-auth-ac
lrwxrwxrwx.  1 root root   25  7月 20 21:27 2014 smtp -> /etc/alternatives/mta-pam
-rw-r--r--.  1 root root    0  7月 28 09:24 2014 smtp.postfix
-rw-r--r--.  1 root root  341  2月 22 12:51 2013 ssh-keycat
-rw-r--r--.  1 root root  575  2月 22 12:51 2013 sshd
-rw-r--r--.  1 root root  487  4月 17 22:03 2012 su
-rw-r--r--.  1 root root  137  4月 17 22:03 2012 su-l
-rw-r--r--.  1 root root  202  2月 22 15:26 2013 sudo
-rw-r--r--.  1 root root  187  2月 22 15:26 2013 sudo-i
lrwxrwxrwx.  1 root root   14  7月 19 23:25 2014 system-auth -> system-auth-ac
-rw-r--r--.  1 root root  896  7月 19 23:25 2014 system-auth-ac
-rw-r--r--.  1 root root  335  3月  1 19:16 2013 vsftpd
-rw-r--r--.  1 root root  101  5月 21 13:51 2014 webmin
# cat /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

モジュールタイプ

モジュールタイプは認証の型を示します。
モジュールタイプには以下の4つがあります。

auth

ユーザー認証を実施するモジュールです。

account

そのユーザーがユーザー認証が行えるかをチェックするモジュールです。
例えばユーザーのアクセス許可やパスワードの有効期限切れなどを確認します。

password

パスワードの変更など、パスワード関連の設定を実施するモジュールです。

session

ユーザー認証後の処理を定義するモジュールです。

コントロール

コントロールは認証の結果、どうするかを定義します。
コントロールには以下の4つがあります。

requisite

モジュールの処理に失敗した場合に、直ちに認証を拒否します。

required

モジュールの処理に失敗してもすぐに拒否せずに、同じモジュールタイプの認証がすべて終了してから拒否します。

sufficient

モジュールの処理に成功した場合、且つそれまでにモジュールの処理が1つも失敗していなければ、直ちに認証を許可します。

optional

モジュールの結果を無視します。

外部ファイルの読み込み

includeを指定して外部ファイルを読み込む事もできます。
auth        include   sales-account

主なモジュール

実際にどのような認証を実施するかは指定するモジュールで決まります。
主なモジュールは以下となります。

pam_unix.so

通常のパスワード認証を実施します。

pam_securetty.so

/etc/securettyに記載されている端末のみを許可します。

pam_nologin.so

/etc/nologinがある場合にroot以外を拒否します。

pam_cracklib.so

パスワードのチェックを実施します。
以下の場合、パスワードが空の場合、パスワードを設定する場合に、大文字、小文字、数字、記号がそれぞれ2文字以上含まれていなければならない。またパスワードを3回間違えると認証失敗を返します。
password requisite pam_cracklib.so try_first_pass retry=3 type=ucredit=-2 lcredit=-2 dcredit=-2 ocredit=-2
※try_first_passは認証方式を複数指定している場合に指定すると、パスワード認証のプロンプトを1回だけ表示するようにします。

pam_deny.so

認証に対して常に失敗を返します。
つまりホワイトリスト方式の場合に使用するモジュールとなり、通常sufficientコントロールと組み合わせて使用します。
例えば以下の設定の場合、パスワード認証に成功しなかったユーザーはすべて明示的に拒否します。
...
auth        sufficient    pam_unix.so
auth        required      pam_deny.so
※sufficientは成功すれば直ちに認証許可となるため、pam_deny.soは実行されません。

pam_permit.so

認証に対して常に成功を返します。
認証に関してはあまりブラックリスト方式は使用しないため、あまり使う機会は無いと思います。

公開日時: 2014年07月28日  09:43:25

PAMに戻る

「PAM」に関する他の手順

「PAM」に関する他の手順はありません。

「PAM」に関するTips

「PAM」に関するTipsはありません。

このページのトップに戻る