Ero sivun ”PAM” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
p (→‎Katso myös: PolicyKit)
Rivi 26: Rivi 26:
*[[Thinkfinger]] - Eräs PAMin moduuli
*[[Thinkfinger]] - Eräs PAMin moduuli
*[[PolicyKit]]
*[[PolicyKit]]
*[[HST]] - Sähköinen henkilökortti.


== Aiheesta muualla ==
== Aiheesta muualla ==

Versio 6. toukokuuta 2011 kello 20.42

PAM (Pluggable Authentication Modules) on Linuxissa käytettävä käyttäjän tunnistusjärjestelmä. Sen avulla sovellus (esimerkiksi sisäänkirjautumisohjelma) voi tunnistaa käyttäjän monella eri tavalla ilman, että sovellusta tarvitsee muuttaa. Sovellus vain esittää käyttäjän tunnistuspyynnön PAM:ille, joka tunnistaa käyttäjän esimerkiksi salasanan tai sormenjäljen perusteella sen mukaan, mitä sen asetuksiin on määritetty.

Historiaa

PAM on alunperin Sun Microsystemsin 1995 kehittämä järjestelmä Solaris-käyttöjärjestelmää varten. Vuonna 1997 aloitettiin Linux-PAM-projekti, ja nykyään käytännössä kaikki Linux-jakelut käyttävät PAMia käyttäjän tunnistamiseen.

Linux-PAMin lisäksi on olemassa mm. FreeBSD:n käyttämä OpenPAM. Nämä kaikki ovat avoimen PAM-standardin mukaisia.

Toiminta

Ennen tietokoneen käyttöä on Linuxissa käyttäjän kirjauduttava sisään, eli sovellusten (esim. sisäänkirjautumisohjelman) on pystyttävä tunnistamaan käyttäjä. Ilman PAMia sovelluksiin on toteutettava tuki kaikille mahdollisille tunnistusmenetelmille, joita halutaan käyttää. Tällöin moniin sovelluksiin olisi hankalaa toteuttaa tuki esimerkiksi sormenjälkitunnistimille.

Toisaalta kun sovellus käyttää PAMia, se voi pyytää PAMia tunnistamaan käyttäjän. PAM lukee asetustiedostosta, millä tavalla käyttäjän tunnistus halutaan tehdä, tekee tunnistuksen tällä tavalla ja palauttaa sovellukselle tiedon tunnistautumisen onnistumisesta. Tällöin sovellus ei itsessään ota kantaa tapaan, jolla käyttäjä tunnistetaan: sovelluksen kannalta on aivan sama, antaako käyttäjä salasanansa vai käyttääkö esimerkiksi silmän iirikseen perustuvaa tunnistusta.

PAMin rakenne on modulaarinen, joten sen kanssa voidaan käyttää uusia tunnistautumistapoja tuovia moduuleita. Esimerkki tällaisesta moduulista on Thinkfinger, joka lisää PAMiin tuen tietyille sormenjälkitunnistimille.

Asetukset

PAMin asetukset löytyvät tiedostosta /etc/pam.conf tai hakemistossa /etc/pam.d olevista tiedostoista. Jos /etc/pam.d-hakemisto on olemassa, tiedostoa /etc/pam.conf ei huomioida. Asetustiedostossa määritellään, mitä moduuleita käytetään käyttäjän tunnistamiseksi. Asetukset voidaan määritellä sovelluskohtaisesti. Tiedostossa pam.conf rivit ovat muotoa

palvelu tyyppi vaatimustaso moduuli asetukset

Sen sijaan hakemistossa /etc/pam.d oleville asetuksille tiedoston nimi kertoo, minkä palvelun asetukset tehdään. Esimerkiksi seuraavat asetukset ovat samat:

#/etc/pam.conf
login auth required pam_unix.so nullok_secure

ja

#/etc/pam.d/login
auth required pam_unix.so nullok_secure

Katso myös

Aiheesta muualla

  • PAM - perustietoa PAMista suomeksi