Configuration PAM

PAM (Pluggable Authentication Modules) est un système d'authentification très flexible. Comme son nom l'indique, il permet aux modules d'être ajoutés pour fournir des fonctionnalités spécifiques. Chaque module s'occupe de certaines parties du processus d'authentification avec la combinaison des résultats de chaque module déterminant si l'accès est accordé.

Par exemple, il existe un module qui fournit une fonctionnalité LDAP et un autre qui fournit fonctionnalité Unix / Shadow et ainsi de suite. Afin de fournir les vérifications et mises à jour des mots de passe requises par une institution donnée, il est nécessaire d'ajuster la configuration PAM pour correspondre à la politique de l'institution. Si une institution utilise Active Directory pour gérer les utilisateurs, le module PAM LDAP doit être activé, si une institution utilise des dongles, alors le module PAM requis (par exemple pam_usbng) doit être activé.

Il est au-delà de la portée de ce document d’expliquer comment configurer PAM (il y a beaucoup de bonnes sources disponibles sur l'internet). Nous allons plutôt voir les configurations requises pour supporter la fonctionnalité requise pour la gestion des mots de passe sur :

  • Solaris 10
  • Linux
  • FreeBSD

Afin de fournir un support général pour la base de données de mots de passe utilisée par votre institution (LDAP, AD, Shadow, etc.) dans EMu, vous devez non seulement configurer PAM, mais aussi NSS (Name Service Switch). La combinaison de PAM et de NSS sur les systèmes Unix fournit l'intégration nécessaire pour communiquer avec les différentes bases de données d'utilisateurs et de mots de passe. Expliquer le NSS dépasse le cadre de ce document, mais des exemples de configurations NSS seront fournis. Le fichier de configuration du NSS se trouve à /etc/nsswitch.conf.

Les configurations PAM décrites dans cette section s'appliquent uniquement à la configuration requise par EMu. Les configurations ne fournissent pas un compte d’accès général au serveur via PAM, mais permettent plutôt à EMu d'être configuré pour utiliser la base de données utilisateur / mot de passe requise. Les configurations affichent les paramètres requis dans le fichier répertorié, et non le contenu complet du fichier. Ainsi, si vous configurez les paramètres PAM et NSS, vous devrez modifier le contenu du fichier existant, plutôt que de le remplacer.

Le fichier de configuration PAM utilisé par Solaris 10 se trouve dans /etc/pam.conf. Le fichier contient la configuration pour tous les services PAM, plutôt qu'un service par fichier (comme utilisé par Linux et FreeBSD).

Les segments du fichier de configuration PAM et NSS requis pour fournir un support de la base de données Shadow sont :

/etc/pam.conf
#
# EMu Texpress service
#
texpress        auth sufficient         pam_rhosts_auth.so.1
texpress        auth requisite          pam_authtok_get.so.1
texpress        auth required           pam_dhkeys.so.1
texpress        auth required           pam_unix_cred.so.1
texpress        auth required           pam_unix_auth.so.1
/etc/nsswitch.conf
passwd:     files

Les segments du fichier de configuration PAM et NSS requis pour fournir un support des bases de données NIS et Shadow sont :

/etc/pam.conf
#
# EMu Texpress service
#
texpress        auth sufficient         pam_rhosts_auth.so.1
texpress        auth requisite          pam_authtok_get.so.1
texpress        auth required           pam_dhkeys.so.1
texpress        auth required           pam_unix_cred.so.1
texpress        auth required           pam_unix_auth.so.1
/etc/nsswitch.conf
passwd:     files nis

Les segments du fichier de configuration PAM et NSS requis pour fournir un support LDAP ou AD et base de données Shadow sont :

/etc/pam.conf
#
# EMu Texpress service
#
texpress        auth sufficient         pam_rhosts_auth.so.1
texpress        auth requisite          pam_authtok_get.so.1
texpress        auth required           pam_dhkeys.so.1
texpress        auth required           pam_unix_cred.so.1
texpress        auth binding            pam_unix_auth.so.1 server_policy
texpress        auth required           pam_ldap.so.1
	#
# Default Account service
	# 
other           account requisite       pam_roles.so.1
other           account binding         pam_unix_account.so.1 server_policy
other           account required        pam_ldap.so.1
	#
# Vérification du mot de passe (utilisé par la tâche Admin uniquement)
	#
passwd          auth binding            pam_passwd_auth.so.1 server_policy
passwd          auth required           pam_ldap.so.1
	#
# Service Mot de passe par défaut
	#
other       password required           pam_dhkeys.so.1
other       password requisite          pam_authtok_get.so.1
other       password requisite          pam_authtok_check.so.1
other       password required           pam_authtok_store.so.1 server_policy
/etc/nsswitch.conf
passwd:     files ldap

Si vous sélectionnez le support LDAP, vous aurez besoin de configurer la façon de relier au serveur LDAP. Utilisez la commande ldapclient pour spécifier ces paramètres.

Le fichier de configuration PAM utilisé par Linux se trouve dans /etc/pam.d/texpress. Le fichier contient la configuration pour les services EMu uniquement.

Les segments du fichier PAM et du fichier NSS requis pour fournir un support de la base de données Shadow sont :

/etc/pam.d/texpress
	#
# EMu Texpress service
	#
auth        required      pam_env.so
auth        required      pam_unix.so nullok try_first_pass
account     required      pam_unix.so
password    requisite     pam_cracklib.so try_first_pass
password    required      pam_unix.so md5 shadow nullok try_first_pass use_authtok
/etc/nsswitch.conf
passwd:     files
shadow:     files

Les segments du fichier PAM et du fichier NSS requis pour fournir un support des bases de données NIS et Shadow sont :

/etc/pam.d/texpress
	#
# EMu   Texpress service
	#
auth        required      pam_env.so
auth        required      pam_unix.so nullok try_first_pass
account     required      pam_unix.so
password    requisite     pam_cracklib.so try_first_pass
password    required      pam_unix.so md5 shadow nullok try_first_pass use_authtok
/etc/nsswitch.conf
passwd:     files nis
shadow:     files nis

Les segments du fichier PAM et du fichier NSS requis pour fournir un support LDAP ou AD et base de données Shadow sont :

/etc/pam.conf
	#
# EMu Texpress service
	#
auth        required      pam_env.so
auth        sufficient    pam_ldap.so
auth        required      pam_unix.so nullok try_first_pass
account     sufficient    pam_ldap.so
account     required      pam_unix.so
password    requisite     pam_cracklib.so try_first_pass
password    sufficient    pam_ldap.so
password    required      pam_unix.so md5 shadow nullok try_first_pass use_authtok
/etc/nsswitch.conf
passwd:     files ldap
shadow:     files ldap

Si vous sélectionnez le support LDAP, vous aurez besoin de configurer la façon de relier au serveur LDAP. Le fichier de configuration LDAP se trouve dans /etc/ldap.conf. Consultez la rubrique ldap.conf du manuel pour plus de détails sur l’association à un serveur LDAP/AD.

Le fichier de configuration PAM utilisé par FreeBSD se trouve dans /etc/pam.d/texpress. Le fichier contient la configuration pour les services EMu uniquement.

Les segments du fichier PAM et du fichier NSS requis pour fournir un support de base de données Unix sont :

/etc/pam.d/texpress
	#
# EMu Texpress service
	#
auth        required      pam_unix.so try_first_pass
account     required      pam_login_access.so
account     required      pam_unix.so
password    requisite     pam_passwdqc.so enforce=users
password    required      pam_unix.so try_first_pass
/etc/nsswitch.conf
passwd:           files
passwd_compat:    nis

Les segments du fichier PAM et du fichier NSS requis pour fournir un support des bases de données NIS et Unix sont :

/etc/pam.d/texpress
	#
# EMu Texpress service
	#
auth        required      pam_unix.so try_first_pass
account     required      pam_login_access.so
account     required      pam_unix.so
password    requisite     pam_passwdqc.so enforce=users
password    required      pam_unix.so try_first_pass
/etc/nsswitch.conf
passwd:           files nis
passwd_compat:    nis

Les segments du fichier PAM et du fichier NSS requis pour fournir un support LDAP ou AD et base de données Unix sont :

/etc/pam.conf
	#
# EMu Texpress service
	#
auth        sufficient    /usr/local/lib/pam_ldap.so try_first_pass
auth        required      pam_unix.so try_first_pass
account     required      pam_login_access.so
account     sufficient    /usr/local/lib/pam_ldap.so
account     required      pam_unix.so
password    requisite     pam_passwdqc.so enforce=users
password    sufficient    /usr/local/lib/pam_ldap.so use_authtok
password    required      pam_unix.so try_first_pass
/etc/nsswitch.conf
passwd:           files ldap

Si vous sélectionnez le support LDAP, vous aurez besoin de configurer la façon de relier au serveur LDAP. Le fichier de configuration LDAP de PAM se trouve dans :

/usr/local/etc/ldap.conf

Une copie du fichier de configuration devrait être liée à :

/usr/local/etc/nss_ldap.conf

pour fournir la configuration NSS LDAP requise.