[prev in list] [next in list] [prev in thread] [next in thread] 

List:       mandrake-confirme
Subject:    [Confirme] Analyse de /etc/pam.d/system-auth
From:       Stephane Boireau <steph2811 () libertysurf ! fr>
Date:       2003-05-30 5:35:35
[Download RAW message or body]

Bonjour,

Pour la mise en place de winbind/pam_mount, j'ai le fichier  
/etc/pam.d/system-auth suivant.
Je souhaite savoir si j'ai bien saisi le fonctionnement et je vous soumets mon 
interprétation.
==================
#%PAM-1.0

auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        requisite     /lib/security/pam_winbind.so use_first_pass
auth        sufficient    /lib/security/pam_mount.so use_first_pass
auth        required      /lib/security/pam_deny.so

account     sufficient    /lib/security/pam_winbind.so
account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 minlen=2  
dcredit=0  ucredit=0
password    sufficient    /lib/security/pam_unix.so nullok use_authtok md5 
shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_mkhomedir.so skel=/etc/skel/ 
umask=0022
session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so
session     required      /lib/security/pam_mount.so
==================

On veille à donner la priorité à l'authentification locale pam_unix pour 
permettre à root de se loguer quoi qu'il arrive avec pam_winbind et 
pam_mount.
Le module pam_winbind récupére le mot de passe saisi à l'étape précédente 
comme l'indique le paramètre use_first_pass.
De la même façon le mot de passe pour pam_mount est récupéré de la saisie 
précédente.
1ère ligne:
Il est nécessaire que tout se passe bien au niveau de pam_env.so (module 
faisant référence à /etc/security/pam_env.conf où l'on définit les variables 
d'environnement pour les utilisateurs)
En cas de problème, même root ne se loguerait pas.
2ème ligne:
sufficient: Si l'authentification à la mode unix, c'est-à-dire avec référence 
à /etc/passwd et /etc/shadow réussit, on a une réponse positive à 
l'authentification quoiqu'il arrive après (sauf si on a un échec sur les/la 
ligne qui précède).
Mais si c'est un échec, ce n'est pas rédhibitoire.
3ème ligne:
requisite: Si on échoue là (sans réponse positive obtenue sur un sufficient 
auparavant), on ne va pas plus loin et l'authentifiaction est un échec.
Cela signifie ici que si on n'est pas authentifié avec un compte/mot de passe 
local, ni avec un compte/mot de passe sur le domaine, c'est un échec.
Si on réussit, on est reconnu sur le domaine et on poursuit la phase 
d'authentification à la ligne suivante sans donner à ce stade une réponse 
définitive sur la réussite de l'authentification.
4ème ligne:
sufficient: Si le montage des partages via pam_mount est un succès on obtient 
à ce stade la validation de la phase d'authentification.
Sinon, ce n'est pas rédhibitoire.
Dans le cas où l'on n'a pas eu de réponse négative sur un required ou 
requisite jusque là, l'authentification est validée (mais sans le montage du 
home distant).
5ème ligne:
required: pam_deny renvoit systématiquement un échec, si bien que si on n'a 
pas obtenu une validation sur un sufficient auparavant, l'authentification 
est vouée à l'échec.

Me gourre-je dans mon analyse?

Il reste encore à passer les phases account, password et session.

Merci pour votre aide.
-- 
Stephane




["message.footer" (text/plain)]

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com"


[prev in list] [next in list] [prev in thread] [next in thread]