Módulos de autenticación enchufables (PAM - Pluggable Authentication Module)

El módulo de autenticación enchufable (PAM - Pluggable Authentication Module) es un marco de autenticación estándar del sector.

El PAM aporta a los administradores de sistema flexibilidad para elegir cualquier servicio de autenticación disponible en el sistema a fin de llevar a cabo la autenticación. El marco PAM también permite enchufar y poner en funcionamiento módulos de servicio de autenticación nuevos sin modificar las aplicaciones.

Por ejemplo, un sistema puede utilizar cualquier método de autenticación de usuarios, como el archivo /etc/passwd, el NIS, el NIS+ o un sistema de confianza. Los programas que exigen la autenticación del usuario transmiten las solicitudes al PAM, el cual determina el método de comprobación correcto y remite la respuesta apropiada. Los programas no tienen por qué saber el método de autenticación que se utiliza.

HP-UX revisión 10.20 introdujo el PAM para autenticar los componentes del entorno de escritorio común (CDE - Common Desktop Environment).
En la revisión 10.30, el PAM se amplió para facilitar la autenticación de los comandos de sistema en sistemas HP-UX estándar, sistemas de confianza y el entorno de computación distribuida (DCE - Distributed Computing Environment) y para aportar compatibilidad con módulos de otros fabricantes.
En la revisión 11.0, el PAM reemplazó por completo a la tecnología HP Integrated Login.
En la revisión 11i, el procesamiento PAM se amplió al inicio de sesión remoto y los demonios de ejecución: rexecd y remshd. Consulte las páginas de manual de rexecd(1M) y remshd(1M).

El marco PAM ofrece una integración sencilla de los recursos técnicos de seguridad adicionales en los comandos de entrada del sistema HP-UX. Los componentes del entorno CDE utilizan el PAM para autenticar a los usuarios, así como para establecer las credenciales de usuario (por ejemplo, para el entorno DCE). Los componentes del entorno CDE también tienen capacidad para autenticar usuarios con ayuda de bases de datos de seguridad comerciales. La interface PAM se utiliza en la autenticación de inicio de sesión, la comprobación de cuentas y la modificación de contraseñas.

Los usuarios del entorno CDE en sistemas que pertenezcan a células del entorno DCE pueden autenticarse en el registro del DCE y obtener las credenciales del DCE en el momento del inicio de sesión.

Los administradores de sistema pueden exigir a los usuarios del entorno CDE que cumplan las directrices de seguridad puestas en vigor en las bases de datos de un sistema de confianza.

El control se ejerce tanto a nivel de todo el sistema como a nivel de usuario individual.

Los archivos de sistema son:

`/etc/pam.conf`		Archivo de control accesible en el sistema.
`/etc/pam_user.conf`		Archivo de control de usuario individual.

Material de consulta de HP

Las páginas de manual de pam(3), pam.conf(4), pam_updbe(5) y pam_user.conf(4).

Utilización del SAM con módulos PAM

En el System Administration Manager (SAM), puede utilizar la zona secundaria Authenticated Commands de Auditing and Security para manejar el archivo de configuración de PAM (/etc/pam.conf). Para cada tipo de autenticación PAM —autenticación de usuario (auth), administración de cuentas (account), administración de sesiones (session) y administración de contraseñas (password)—, puede agregar, modificar o eliminar nombres de servicio en el archivo de configuración de PAM.

El SAM no puede administrar el archivo de configuración de cada usuario (/etc/pam_user.conf) ni la interface del entorno DCE: estos elementos deben modificarse manualmente.

Configuración accesible en el sistema

El archivo de configuración de PAM (/etc/pam.conf) define los mecanismos de seguridad que se utilizan para autenticar usuarios. Los valores por defecto de dicho archivo proporcionan el funcionamiento acostumbrado del sistema tanto en sistemas HP-UX estándar como de confianza. Asimismo, el archivo mencionado permite el apoyo de funciones de control de los usuarios individuales y de la función de inicio de sesión integrado del DCE.

(Para el entorno DCE, emplee la utilidad auth.adm para crear el archivo de configuración deseado que equivalga, desde el punto de vista funcional, al anterior archivo auth.conf de HP Integrated Login.)

Las bibliotecas de PAM (libpam y libpam_unix) y el archivo de configuración (/etc/pam.conf) deben estar en el sistema para que los usuarios puedan iniciar una sesión o cambiar las contraseñas.

La autenticación de HP-UX depende del archivo /etc/pam.conf. El propietario de este archivo debe ser el usuario root y debe tener los siguientes permisos de acceso al archivo:

-r--r--r-- 1 root sys 1050 Nov 8 10:16 /etc/pam.conf

Si este archivo se daña o no está presente en el sistema, se permite al usuario root iniciar una sesión en la consola en modo monousuario para solucionar el problema.

Para obtener información adicional, consulte las páginas de manual de pam(3), pam.conf(4) y sam(1M).

Configuración para cada usuario

El archivo de configuración de PAM /etc/pam_user.conf configura el PAM para cada usuario. El archivo /etc/pam_user.conf es opcional. Sólo se necesita si las aplicaciones de PAM tienen que presentar un comportamiento diferente para diversos usuarios.

Para obtener más información, consulte las páginas de manual de pam_user.conf(4) y pam.conf(4).

El archivo de configuración pam.conf

Los nombres de servicio protegidos se enumeran en el archivo de control del sistema (/etc/pam.conf) conforme a cuatro categorías de prueba (tipo_módulo): autenticación (authentication), cuenta (account), sesión (session) y contraseña (password). Consulte la página de manual de pam.conf(4).

Las entradas del archivo /etc/pam.conf presentan esta forma:

nombre_servicio tipo_módulo control ruta_módulo opciones

donde:

nombre_servicio

es el nombre que la aplicación utiliza para identificarse en el PAM; por ejemplo: login. Este nombre, en general, es el nombre del comando al que ha llamado el usuario. La palabra clave other (u OTHER) representa cualquier aplicación que no se haya especificado para el tipo_módulo asociado.

tipo_módulo

es la palabra clave correspondiente al tipo de autenticación:

`account`		Administración de cuentas
`auth`		Autenticación de usuarios
`password`		Administración de contraseñas
`session`		Administración de sesiones

control

es una palabra clave que especifica la forma de manejar varias definiciones del mismo nombre_servicio y del mismo tipo_módulo. Es una de las siguientes palabras clave:

`required`		La prueba del módulo debe tener éxito
`optional`		La prueba del módulo puede no superarse
`sufficient`		Si la prueba se supera con éxito, no se realizan más pruebas

ruta_módulo

es un nombre de ruta a un objeto de biblioteca compartida que implanta el servicio. Si la ruta no es absoluta, se da por sentado que es relativa a /usr/lib/security, donde se ubican los módulos suministrados por HP. La ruta_módulo correspondiente al módulo de un sistema HP-UX estándar es /usr/lib/security/libpam_unix.1.

Si utiliza la autenticación de DCE, la ruta_módulo para todas las entradas así es /usr/lib/security/libpam_dce.1.

Si aplica controles de usuario individual para un nombre_servicio y tipo_módulo, la primera entrada para dicho nombre_servicio/tipo_módulo debe tener la ruta_módulo: /usr/lib/security/libpam_updbe.1, y la palabra clave de control: required. Consulte la página de manual de pam_updbe(5).

opciones

cero, una o varias opciones que el módulo reconoce. Las opciones admitidas por los módulos se documentan en las páginas de manual correspondientes. Las opciones del módulo HP-UX estándar (libpam_unix.1) y del módulo DCE (libpam_dce.1) se resumen como sigue:

Para todos los valores de tipo_módulo:
debug
Escribir información de depuración en el archivo de registro del sistema al nivel LOG_DEBUG.
nowarn
Desactivar los mensajes de advertencia.

Para auth:

`use_first_pass`		Probar la contraseña que el usuario ha escrito para el primer módulo del `tipo_módulo`. Si no coincide con la base de datos o no se ha escrito ninguna contraseña, salir.
`try_first_pass`		Probar la contraseña que el usuario ha escrito para el primer módulo del `tipo_módulo`. Si no coincide con la base de datos o no se ha escrito ninguna contraseña, pedir al usuario que facilite una contraseña.
`use_psd`		Solicitar el número de identificación personal del usuario (`Enter PIN:`) y utilizarlo para leer y decodificar la contraseña del dispositivo de seguridad personal del usuario. Si la contraseña no coincide con la base de datos, salir. El entorno DCE no admite esta opción.

Valor por defecto: si no se especifica ninguna de las opciones anteriores, cada módulo se comporta de forma independiente, lo que entraña que cada uno de ellos pedirá contraseñas y datos tal como acostumbre.

Para password:

`use_first_pass`		Probar las contraseñas antigua y nueva que el usuario escriba para el primer módulo `password`. Si alguna de las dos da error, no volver a pedirla. El campo `control` debe presentar el valor `optional`.
`try_first_pass`		Probar las contraseñas antigua y nueva que el usuario escriba para el primer módulo `password`. Si las contraseñas dan error o no se ha escrito ninguna, pedirle al usuario que escriba las contraseñas antigua y nueva.
`use_psd`		Solicitar el número de identificación personal del usuario (`Enter PIN:`) y utilizarlo para leer y decodificar la contraseña del dispositivo de seguridad personal del usuario. Si la contraseña no coincide con la base de datos, salir. Si coincide, pedirle al usuario que escriba una contraseña nueva. El entorno DCE no admite esta opción.

Las líneas que empiezan por el signo de número (#) son comentarios.

El contenido por defecto del archivo /etc/pam.conf es:

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
passwd   password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
OTHER    password required      /usr/lib/security/libpam_unix.1

El archivo de configuración pam_user.conf

Se pueden asignar diferentes opciones a los usuarios individuales; para ello, enumere los usuarios en el archivo de control de usuario: /etc/pam_user.conf. Para cada nombre_inicio_sesión relacionado en este archivo, las opciones mencionadas en dicho archivo sustituyen a las opciones especificadas para el tipo_módulo y la ruta_módulo del archivo /etc/pam.conf. Consulte la sección «El archivo de configuración pam.conf».

Las entradas del archivo /etc/pam_user.conf presentan esta forma:

nombre_inicio_sesión tipo_módulo ruta_módulo opciones

donde:

`nombre_inicio_sesión`
		es el nombre de inicio de sesión del usuario
`tipo_módulo`		es un `tipo_módulo` especificado en el archivo `/etc/pam.conf`
`ruta_módulo`		es una `ruta_módulo` asociada a un `tipo_módulo` en `/etc/pam.conf`
`opciones`		cero, una o varias opciones que el módulo reconoce.

El contenido por defecto del archivo /etc/pam_user.conf consiste en comentarios:

#
# This file defines PAM configuration for a user. The configuration
# here overrides pam.conf.
#
# The format for each entry is:
# user_name  module_type  module_path options
#
# For example:
#
# user_a        auth      /usr/lib/security/libpam_unix.1     debug
# user_a        auth      /usr/lib/security/libpam_dce.1      try_first_pass
# user_a        password  /usr/lib/security/libpam_unix.1     debug
#
# user_b        auth      /usr/lib/security/libpam_unix.1     debug use_psd
# user_b        password  /usr/lib/security/libpam_unix.1     debug use_psd
#
# See the pam_user.conf(4) manual page for more information
#

Funcionamiento del PAM: ejemplo de inicio de sesión

En este ejemplo se describe el proceso auth para login.

Si hay una sola entrada estándar login/auth en /etc/pam.conf, como por ejemplo:

login auth required /usr/lib/security/libpam_unix.1

el inicio de sesión se produce con normalidad.

Si hay dos o más entradas login/auth accesibles en el sistema, como por ejemplo:

login     auth  required  /usr/lib/security/libpam_unix.1
login     auth  required  /usr/lib/security/libpam_dce.1

se procesan en orden. En este caso, se ejecuta el proceso de inicio de sesión HP-UX estándar. A continuación, tiene lugar el proceso de autenticación del entorno DCE. Si ambos procesos transcurren con éxito, el inicio de sesión es fructuoso. Se ejecutan ambos procesos aunque el usuario no supere uno.

Si necesita utilizar métodos de autenticación diferentes para usuarios distintos, coloque la entrada especial libpam_udpbe delante de los módulos de autenticación en el archivo /etc/pam.conf (las líneas se numeran para simplificar su consulta):

#/etc/pam.conf
#1
login     auth  required  /usr/lib/security/libpam_udpbe.1
#2
login     auth  required  /usr/lib/security/libpam_unix.1
#3
login     auth  required  /usr/lib/security/libpam_dce.1

y coloque las entradas correspondientes a cada usuario afectado en el archivo /etc/pam_user.conf:

#/etc/pam_user.conf
#4
allan  auth  /usr/lib/security/libpam_unix.1  debug
#5
allan  auth  /usr/lib/security/libpam_dce.1   try_first_pass
#6
isabel auth  /usr/lib/security/libpam_unix.1  debug  use_psd

Cuando allan inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que el PAM lea el archivo /etc/pam_user.conf. Puesto que las rutas de módulo de las líneas 4 y 5 del archivo /etc/pam_user.conf coinciden con las rutas de módulo de las líneas 2 y 3 del archivo /etc/pam.conf, el PAM sustituye temporalmente los campos de opciones vacíos de las líneas 2 y 3 del archivo /etc/pam.conf por los valores “debug” y “try_first_pass”, respectivamente. A continuación, los módulos especificados por las líneas 2 y 3 se ejecutan con las opciones revisadas.

Cuando isabel inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que el PAM lea el archivo /etc/pam_user.conf y sustituya temporalmente el campo de opciones de la línea 2 del archivo /etc/pam.conf por el valor “debug use_psd”. La línea 3 permanece igual. A continuación, los módulos especificados por las líneas 2 y 3 se ejecutan con las opciones revisadas.

Cuando george inicia una sesión, la línea 1 del archivo /etc/pam.conf hace que el PAM lea el archivo /etc/pam_user.conf. Puesto que no hay ninguna entrada para george, las líneas 2 y 3 del archivo /etc/pam_user.conf permanecen igual. A continuación, los módulos especificados por las líneas 2 y 3 se ejecutan sin ningún cambio.