 |
» |
|
|
|
Los módulos de autenticación enchufables (PAM - Pluggable Authentication Modules) constituyen un marco estándar del sector que proporciona servicios de autenticación, administración de cuentas, administración de sesiones y servicios de contraseñas. Esta sección proporciona una descripción general de los módulos PAM y describe los archivos de configuración PAM: /etc/pam.conf y /etc/pam_user.conf. Para obtener más información , consulte las páginas de manual de pam(3), pam_*(5), pam.conf(4), pam_user.conf(4) y security(4). Descripción general | |
Los módulos PAM proporcionan la flexibilidad de elegir cualquier servicio de autenticación disponible en el sistema. El marco PAM también permite conectar nuevos módulos de servicios de autenticación y ponerlos disponibles sin modificar las aplicaciones. Siempre que un usuario inicie una sesión, ya sea de forma local o remota (por ejemplo, con login o rlogin), es necesario comprobar o autenticar el usuario como usuario válido del sistema. A medida que los métodos de autenticación mejoran y cambian con el tiempo, los servicios de inicio de sesión tendrían que cambiar también. Para evitar el cambio constante de los servicios de inicio de sesión simplemente para revisar el código de autenticación, se desarrollaron los módulos PAM, que permiten utilizar distintos métodos de autenticación sin modificar el código de inicio de sesión. Como consecuencia, la autenticación de inicios de sesión, la comprobación de cuentas y la modificación de contraseñas utilizan la interface PAM.
Los programas que exigen la autenticación del usuario transmiten las solicitudes al módulo PAM, el cual determina el método de comprobación correcto y remite la respuesta apropiada. Los programas no tienen por qué saber el método de autenticación que se utiliza. Para obtener una descripción general, consulte la Figura 2-1.
Los métodos de autenticación se especifican para todo el sistema y para usuarios individuales utilizando los siguientes archivos de sistema PAM: - /etc/pam.conf
Archivo de control de todo el sistema. Define qué módulos de servicios se van a emparejar con servicios. Se consideran los valores por defecto del sistema. - /etc/pam_user.conf
Archivo de control de usuario individual. Define qué opciones van a utilizar los módulos de servicios en usuarios específicos. Se trata de un archivo opcional.
Para obtener más información, consulte las páginas de manual de pam(3), pam.conf(4), pam_updbe(5) y pam_user.conf(4). Bibliotecas PAM | |
Los módulos de servicios PAM se ponen en ejecución mediante bibliotecas compartidas. Los módulos PAM permiten que varias tecnologías de autenticación coexistan en HP-UX. El archivo de configuración /etc/pam.conf determina qué módulo de autenticación se va a utilizar. Las bibliotecas PAM son las siguientes: PAM_DCE Los módulos PAM_DCE permiten la integración de DCE en los servicios de entrada del sistema (como login, telnet, rlogin y ftp). Los módulos PAM_DCE proporcionan la funcionalidad de los módulos de autenticación, y administración de cuentas y contraseñas. Estos módulos se admiten mediante la biblioteca PAM_DCE, /usr/lib/security/pam_dce.sl. Para obtener más información, consulte la página de manual de pam_dce(5). PAM_HPSEC Los módulos PAM_HPSEC administran las extensiones específicas de HP-UX para la autenticación, y la administración de cuentas, contraseñas y sesiones. El uso de /usr/lib/security/$ISA/libpam_hpsec.so.1 es obligatorio para servicios como login, dtlogin, ftp, su, remsh, rexec y ssh. Estos servicios deben colocar libpam_hpsec.so.1 al principio de la pila, encima de uno o varios módulos no opcionales. El módulo pam_hpsec también aplica diversos atributos definidos en /etc/default/security. Para obtener más información, consulte las páginas de manual de pam_hpsec(5) y security(4). PAM_KRB5 Kerberos es un protocolo de autenticación de red que permite la comunicación segura a través de redes sin transmitir las contraseñas como texto no cifrado. El centro de distribución de claves (KDC - Key Distribution Center) autentica una contraseña y, a continuación, emite un tíquet TGT (Ticket Granting Ticket - Tíquet de concesión de tíquets). La biblioteca compartida de PAM Kerberos es /usr/lib/security/libpam_krb5.1. Para obtener más información, consulte la página de manual de pam_krb5(5). PAM_LDAP El protocolo ligero de acceso a directorios (LDAP - Lightweight Directory Access Protocol) es un estándar para centralizar la información de administración de los usuarios, grupos y la red mediante servicios de directorio. La autenticación tiene lugar en un servidor de directorio LDAP. Para obtener más información, consulte la documentación sobre LDAP-UX en http://docs.hp.com/hpux/11iv2/index.html. PAM_NTLM El administrador PAM NT LAN Manager permite autenticar a los usuarios de HP-UX en los servidores Windows durante el inicio de sesión en el sistema. PAM NTLM utiliza servidores NT para autenticar los usuarios que inicien una sesión en un sistema HP-UX. Para obtener más información, consulte el documento HP CIFS Client Administrator's Guide en http://docs.hp.com/hpux/11iv2/index.html. PAM_UNIX Los módulos PAM_UNIX proporcionan la funcionalidad de los cuatro módulos PAM: autenticación, y administración de cuentas, sesiones y contraseñas. Estos módulos se admiten mediante la biblioteca PAM UNIX, /usr/lib/security/libpam_unix.1. Para obtener más información, consulte la página de manual de pam_unix(5). PAM_UPDBE El módulo de servicios de definición de directivas de usuarios para PAM, /usr/lib/security/libpam_updbe.1, lee las opciones definidas en el archivo de configuración de usuarios, /etc/pam_user.conf, y almacena la información en el identificador de PAM para que la puedan utilizar los módulos de servicios posteriores. Para obtener más información, consulte la página de manual de pam_updbe(5).
Configuración de todo el sistema con /etc/pam.conf | |
El archivo de configuración de PAM (/etc/pam.conf) define los mecanismos de seguridad que se utilizan para autenticar usuarios. Los valores por defecto de dicho archivo proporcionan el funcionamiento acostumbrado del sistema tanto en sistemas HP-UX estándar como en sistemas de confianza. Asimismo, el archivo mencionado presta soporte a los controles de los usuarios individuales y a la funcionalidad de inicio de sesión integrada del entorno DCE. | | | |  | NOTA: En el entorno DCE, use la utilidad auth.adm para crear el archivo de configuración deseado. Desde el punto de vista funcional, este archivo equivale al anterior archivo auth.conf de inicio de sesión intregado de HP. Para obtener más información, consulte la página de manual de auth.adm(1m). | | | | |
Las bibliotecas libpam y libpam_unix de PAM y el archivo de configuración /etc/pam.conf deben estar en el sistema para que los usuarios puedan iniciar una sesión o modificar contraseñas. La autenticación de HP-UX depende del archivo /etc/pam.conf. El propietario de este archivo debe ser el usuario root y debe tener los siguientes permisos de acceso al archivo: -r--r--r-- 1 root sys 1050 Nov 8 10:16 /etc/pam.conf |
Si este archivo se daña o no está presente en el sistema, el usuario root puede iniciar una sesión en la consola en modo monousuario para solucionar el problema. Los nombres de servicio protegidos se enumeran en el archivo de control del sistema, /etc/pam.conf, conforme a cuatro categorías de prueba (tipo_módulo): autenticación (authentication), cuenta (account), sesión (session) y contraseña (password). Para obtener más información, consulte las páginas de manual de pam(3), pam.conf(4) y pam_user.conf(4). Ejemplo del archivo /etc/pam.conf | |
A continuación, se muestra una lista parcial de un archivo /etc/pam.conf de ejemplo. Las líneas precedidas de un signo de número (#) son líneas de comentario. Las secciones del archivo /etc/pam.conf son administración de la autenticación (authentication management), administración de cuentas (account management), administración de sesiones (session management) y administración de contraseñas (password management). |
#
# PAM configuration
#
# Notes:
#
# If the path to a library is not absolute, it is assumed to be
# relative to the directory /usr/lib/security/$ISA/
#
# For PA applications, /usr/lib/security/$ISA/libpam_unix.so.1 is a
# symbolic link that points to the corresponding PA (32 or 64-bit) PAM
# backend library.
#
# The $ISA (i.e. Instruction Set Architecture) token will be replaced
# by the PAM engine with an appropriate directory string.
# See pam.conf(4).
#
# Also note that the use of pam_hpsec(5) is mandatory for some of
# the services. See pam_hpsec(5).
#
# Authentication management
#
login auth required libpam_hpsec.so.1
login auth required libpam_hpsec.so.1
su auth required libpam.hpsec.so.1 bypass_setaud
su auth required libpam_unix.so.1
dtlogin auth required libpam_hpsec.so.1
dtlogin auth required libpam_unix.so.1
dtaction auth required libpam_hpsec.so.1
dtaction auth required libpam_unix.so.1
ftp auth required libpam_hpsec.so.1
ftp auth required libpam_unix.so.1
rcomds auth required libpam_hpsec.so.1
rcomds auth required libpam_unix.so.1
sshd auth required libpam_hpsec.so.1
sshd auth required libpam_unix.so.1
OTHER auth required libpam_unix.so.1
#
# Account management
#
login account required libpam_hpsec.so.1
login account required libpam_unix.so.1
su account required libpam_hpsec.so.1
su account required libpam_unix.so.1 |
|
Archivo de configuración de usuarios /etc/pam_user.conf | |
El archivo de configuración PAM, /etc/pam_user.conf, configura los módulos PAM por usuario. Este archivo es opcional. Sólo se necesita si las aplicaciones PAM tienen que presentar un comportamiento diferente para diversos usuarios. Puede asignar opciones distintas a usuarios individuales enumerando estos últimos en /etc/pam_user.conf. Para cada nombre_inicio_sesión indicado en este archivo, las opciones mencionadas en dicho archivo sustituyen a las opciones especificadas para el tipo_módulo y la ruta_módulo del archivo /etc/pam.conf. Las entradas del archivo /etc/pam_user.conf utilizan la siguiente sintaxis: nombre_inicio_sesión tipo_módulo ruta_módulo opciones |
donde: - nombre_inicio_sesión
Nombre de inicio de sesión del usuario. - tipo_módulo
El tipo_módulo especificado en el archivo /etc/pam.conf. - ruta_módulo
La ruta_módulo asociada a tipo_módulo en el archivo /etc/pam.conf. - opciones
Cero o varias opciones que el módulo reconoce.
El contenido por defecto del archivo /etc/pam_user.conf consiste en comentarios: #
# This file defines PAM configuration for a user. The configuration
# here overrides pam.conf.
#
# The format for each entry is:
# user_name module_type module_path options
#
# For example:
#
# user_a auth /usr/lib/security/libpam_unix.1 debug
# user_a auth /usr/lib/security/libpam_dce.1 try_first_pass
# user_a password /usr/lib/security/libpam_unix.1 debug
#
# user_b auth /usr/lib/security/libpam_unix.1 debug use_psd
# user_b password /usr/lib/security/libpam_unix.1 debug use_psd
#
# See the pam_user.conf(4) manual page for more information
# |
Ejemplos: Cómo funcionan los módulos PAM para el inicio de sesión | |
En los siguientes ejemplos se describe el proceso auth para login, en función de cómo esté configurado el archivo /etc/pam.conf: Si el archivo /etc/pam.conf contiene un único login auth estándar (como el que se muestra a continuación), login continuará de la manera habitual: login auth required /usr/lib/security/libpam_unix.1 |
Si hay dos o más entradas login auth para todo el sistema (como las que se muestran a continuación), se procesarán en orden: login auth required /usr/lib/security/libpam_unix.1
login auth required /usr/lib/security/libpam_dce.1 |
En este caso, se ejecuta el proceso login estándar de HP-UX. A continuación, tiene lugar el proceso de autenticación del entorno DCE. Si ambos procesos transcurren con éxito, el inicio de sesión es fructuoso. Se ejecutan ambos procesos aunque el usuario no supere uno. Si necesita utilizar métodos de autenticación diferentes para usuarios distintos, coloque la entrada especial libpam_udpbe delante de los módulos de autenticación en el archivo /etc/pam.conf (las líneas se numeran para simplificar su consulta): #/etc/pam.conf
#1
login auth required /usr/lib/security/libpam_udpbe.1
#2
login auth required /usr/lib/security/libpam_unix.1
#3
login auth required /usr/lib/security/libpam_dce.1 |
A continuación, coloque las entradas correspondientes a cada usuario afectado en el archivo /etc/pam_user.conf: #/etc/pam_user.conf
#4
allan auth /usr/lib/security/libpam_unix.1 debug
#5
allan auth /usr/lib/security/libpam_dce.1 try_first_pass
#6
isabel auth /usr/lib/security/libpam_unix.1 debug use_psd |
Cuando allan inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que PAM lea el archivo /etc/pam_user.conf. Puesto que las rutas de módulo de las líneas 4 y 5 del archivo /etc/pam_user.conf coinciden con las rutas de módulo de las líneas 2 y 3 del archivo /etc/pam.conf, PAM sustituye temporalmente los campos de opciones vacíos de las líneas 2 y 3 del archivo /etc/pam.conf por los valores debug y try_first_pass, respectivamente. A continuación, los módulos especificados por las líneas 2 y 3 se ejecutan con las opciones revisadas. Cuando isabel inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que PAM lea el archivo /etc/pam_user.conf y sustituya temporalmente el campo de opciones de la línea 2 del archivo /etc/pam.conf por el valor debug use_psd. La línea 3 permanece igual. A continuación, los módulos especificados por las líneas 2 y 3 se ejecutan con las opciones revisadas. Cuando george inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que el PAM lea el archivo /etc/pam_user.conf. Puesto que no hay ninguna entrada para george, las líneas 2 y 3 del archivo /etc/pam_user.conf permanecen igual. Los módulos especificados por las líneas 2 y 3 se ejecutan sin ningún cambio.
|
Versión para imprimir
