Indicateurs de contrôle PAM
Lors d'une vérification, tous les modules PAM produisent un résultat qui en indique la réussite ou l'échec. Les indicateurs de contrôle indiquent aux PAM quoi faire de ce résultat. Comme les modules peuvent être mis dans un ordre bien précis, les indicateurs de contrôle vous donnent la possibilité de définir l'importance de certains modules par rapports à ceux qui viennent après eux.
Prenons, encore une fois, l'exemple du fichier de configuration PAM de rlogin :
auth required /lib/security/pam_nologin.so auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_stack.so service=system-auth |
 | Important |
|---|---|
L'ordre dans lequel les modules required sont appelés n'est pas important. Ce sont les indicateurs de contrôle sufficient et requisite qui font que l'ordre devienne important. Voir ci-dessous l'explication de chaque type d'indicateur de contrôle. |
Une fois qu'un type de module a été spécifié, les indicateurs de contrôle décident quelle importance doit être attribuée au module en question en fonction de l'objectif général qui est d'accorder l'accès à au service.
Quatre types d'indicateurs de contrôle sont définis par le standard PAM :
Les modules ayant l'indication required doivent être vérifiés avec succès pour que l'authentification soit accordée. Si la vérification d'un module portant l'indication required échoue, l'utilisateur n'en est pas averti tant que tous les modules du même type n'auront pas été vérifiés.
Les modules ayant l'indication requisite doivent également être vérifiés avec succès pour que l'authentification soit accordée. Cependant, si la vérification d'un de ces modules échoue, l'utilisateur en est averti sur-le-champ au moyen d'un message lui indiquant l'échec du premier module required ou requisite.
La vérification des modules ayant l'indication sufficient est ignorée en cas d'échec, mais, si la vérification est réussie et qu'aucun module required précédent n'a échoué, aucun autre module de ce type ne sera vérifié et l'utilisateur sera authentifié.
Les modules ayant l'indication optional ne sont pas cruciaux pour la réussite ou l'échec de l'authentification de ce type de module. Ils ne jouent un rôle que lorsque aucun autre module de ce type n'a réussi ou échoué. Dans ce cas, le succès ou l'échec d'un module portant l'indication optional détermine l'authentification PAM générale pour ce type de module.
Il existe maintenant pour PAM une syntaxe d'indicateurs de contrôle plus récente qui offre encore plus de contrôle. Veuillez lire les documents PAM qui se trouvent dans le répertoire /usr/share/doc/pam-numéro-version/ pour en savoir plus sur cette nouvelle syntaxe.