Autenticação via PAM

Annotations:

• PAM = Pluggable Authentication Modules. É uma interface para autenticação de usuários em diversas aplicações

1. Aplicações
   1. login
      1. ssh
         1. telnet
            1. gdm
               1. etc
2. PAM
   1. /etc/pam.conf
      1. /etc/pam.d/*
3. Módulos PAM
   1. pam_unix.so
      1. pam_ldap.so
         1. pam_nis.so
            1. pam_krb5.so
               1. etc
4. Recursos
   1. Unix/Linux
      1. LDAP
         1. NIS
            1. Kerberos
               1. etc
5. Configurações

   Annotations:

   • O mais comum é que cada serviço possua sua própria configuração no /etc/pam.d.
   1. /etc/pam.d/
   2. etc/pam.conf.
   3. Basadas em 4 parâmetros
      1. Tipo
         1. password

            Annotations:

            • Definições referentes à atualização da autenticação.
         2. session

            Annotations:

            • Algum procedimento que deve ser realizado após o login, antes do usuário receber o acesso.
         3. account

            Annotations:

            • Verifica se o usuário pode usar o serviço, se não há nenhum bloqueio de acesso.
         4. auth

            Annotations:

            • Verifica a autenticidade do usuário. Normalmente por usuário e senha, mas também por chip, biometria e etc.
      2. Controle
         1. requisite

            Annotations:

            • Se o módulo falhar, todo o processo é interrompido.
         2. required

            Annotations:

            • Se o módulo falhar, o acesso é negado, mas os demais módulos serão invocados.
         3. sufficient

            Annotations:

            • Se o módulo tiver sucesso, a falha de outros módulos serão ignoradas. Uma falha não é fatal.
         4. optional

            Annotations:

            • Sucesso ou falha não é relevante, a menos que seja o único.
      3. Principais Módulos
         1. pam_sss.so

            Annotations:

            • Uso do SSS
         2. pam_listfile.so

            Annotations:

            • Uso de arquivos externos para controle
         3. pam_cracklib.so

            Annotations:

            • Checagem de senhas fracas
         4. pam_ldap.so

            Annotations:

            • Acessos via LDAP
         5. pam_limits.so

            Annotations:

            • Limitação de Recursos
         6. pam_krb5.so

            Annotations:

            • Uso do Kerberos 5 para Autenticação
         7. pam_userdb.so

            Annotations:

            • Uso de Datafiles .db
         8. pam_nologin.so

            Annotations:

            • Uso do /etc/nologin
         9. pam_time.so

            Annotations:

            • Recursos de controle por horário
         10. pam_unix.so

             Annotations:

             • Relacionado principalmente ao passwd/shadow
         11. pam_console.so

             Annotations:

             • Controle de acesso ao console por usuário
      4. Argumentos do Módulo (opcional)
6. Exemplos

   Annotations:

   • Para realizar a mesma configuração no /etc/pam.conf, é preciso incluir no primeiro campo o nome do serviço, por exemplo:
   1. /etc/pam.d/login

      Annotations:

      • auth requisite pam_nologin.so session required pam_limits.so
   2. etc/pam.conf

      Annotations:

      • login auth requisite pam_nologin.so login session required pam_limits.so
7. LDAP com PAM
   1. pam_ldap.so
   2. /etc/pam.d/login
      1. Exemplo de configuração

         Annotations:

         • auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass account sufficient pam_ldap.so account required pam_unix.so
8. SSSD (System Security Services Daemon)

   Annotations:

   • Interface criada como melhoria ao PAM. O principal objetivo é ser uma interface para obter informações dos usuários a patir de diversas fontes, principalmente através do PAM e o do NSS e muito usado para comunicação com o LDAP e com serviços AD do Windows.
   1. /etc/sssd.conf.