16.3. Konfigurace PAM modulů

16.3. Konfigurace PAM modulů
	Kapitola 16. Autentizace pomocí PAM

Některé PAM moduly jsou konfigurovatelné. Příslušné konfigurační soubory jsou umístěny v adresáři /etc/security. Tato kapitola stručně popisuje konfigurační soubory vztahující se k předchozímu příkladu s sshd, tj. pam_unix2.conf, pam_env.conf, pam_pwcheck.conf a limits.conf.

16.3.1. pam_unix2.conf

Běžná autentizace založená na heslech je řízená PAM modulem pam_unix2. Ten může přistupovat k potřebným údajům v /etc/passwd, /etc/shadow, NIS mapách, NIS+ tabulkách nebo v LDAP databázi. Chování modulu lze ovlivnit individuálním nastavením PAM pro jednotlivé aplikace nebo globálně úpravou souboru /etc/security/pam_unix2.conf. Velmi jednoduchý konfigurační soubor pro tento modul ukazuje příklad 16.6 – „pam_unix2.conf“.

Příklad 16.6. pam_unix2.conf

auth:   nullok
account:
password:       nullok
session:        none

Parametr nullok pro moduly auth a password znamená, že jsou povolena prázdná hesla. Uživatelé také mohou měnit hesla ke svým účtům. Parametr none modulu typu session znamená, že nebudou logovány žádné zprávy modulu (to je implicitní nastavení). Další konfigurační možnosti jsou popsány v komentářích v samotném souboru a v manuálové stránce pam_unix2(8).

16.3.2. pam_env.conf

Tento soubor lze použít k nastavení standardizovaného uživatelského prostředí, kdykoliv je zavolán modul pam_env. Proměnné prostředí lze nastavit pomocí následující syntaxe:

VARIABLE  [DEFAULT=[hodnota]]  [OVERRIDE=[hodnota]]

VARIABLE: Jméno proměnné prostředí, která má být nastavena.
[DEFAULT=[hodnota]]: Implicitní hodnota proměnné.
[OVERRIDE=[hodnota]]: Hodnota, na kterou se modul pam_env dotáže a kterou přepíše implicitní hodnotu.

Obvyklým příkladem implicitní hodnoty, jež má být modulem pam_env přepsána, je proměnná DISPLAY, která se mění při každém vzdáleném přihlášení. Viz příklad 16.7 – „pam_env.conf“.

Příklad 16.7. pam_env.conf

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

První řádka nastavuje proměnnou REMOTEHOST na hodnotu localhost. Tato hodnota je použita, pokud modul pam_env nemůže zjistit jinou hodnotu. Proměnná DISPLAY obsahuje hodnotu proměnné REMOTEHOST. Další informace lze získat z komentářů v souboru /etc/security/pam_env.conf.

16.3.3. pam_pwcheck.conf

Tento konfigurační soubor je určen pro modul pam_pwcheck, který z něj načítá nastavení pro všechny moduly typu password. Nastavení z tohoto souboru jsou načtena před PAM nastaveními pro jednotlivé aplikace. Pokud nemá aplikace nastavení definováno specificky, použije se toto globální nastavení. Příklad 16.8 – „pam_pwcheck.conf“ přikazuje modulu pam_pwcheck povolit prázdná hesla a jejich změnu. Více nastavení je zmíněno v souboru /etc/security/pam_pwcheck.conf.

Příklad 16.8. pam_pwcheck.conf

password:    nullok

16.3.4. limits.conf

V souboru limits.conf, který je načítán modulem pam_limits, lze nastavit systémová omezení pro jednotlivé uživatele nebo jejich skupiny. Umožňuje nastavit pevná omezení, která nelze v žádném případě překročit, a měkká omezení, která mohou být překročena dočasně. Syntaxe souboru a další možnosti nastavení jsou popsány v komentářích.