c8496e4b91
Reviewed by: Japanese Online Manual Project <man-jp@jp.FreeBSD.ORG> Submitted by: Kazuo Horikawa <k-horik@yk.rim.or.jp>
282 lines
6.8 KiB
Groff
282 lines
6.8 KiB
Groff
.\" Hey Emacs! This file is -*- nroff -*- source.
|
|
.\" %Id: pam.8,v 1.2 1997/02/15 18:37:27 morgan Exp %
|
|
.\" Copyright (c) Andrew G. Morgan 1996-7 <morgan@linux.kernel.org>
|
|
.\" jpman %Id: pam.8,v 1.3 1999/02/11 09:24:24 kuma Stab %
|
|
.TH PAM 8 "1997 Feb 9" "PAM 0.56" "PAM Manual"
|
|
.SH 名称
|
|
|
|
PAM \- プラグ可能認証モジュール群
|
|
|
|
.SH 書式
|
|
.B /etc/pam.conf
|
|
.sp 2
|
|
.SH 解説
|
|
|
|
本マニュアルの目的は、
|
|
.B PAM
|
|
のクイックイントロダクションです。
|
|
更なる情報は、
|
|
.B "Linux-PAM system administrators' guide"
|
|
を御覧ください。
|
|
|
|
.sp
|
|
.BR PAM
|
|
は、システム上でアプリケーション (サービス) の認証作業を行う
|
|
ライブラリシステムです。
|
|
本ライブラリは、
|
|
一般的な不変のインタフェース
|
|
(アプリケーションプログラミングインタフェース - API) を提供します。
|
|
.RB ( login "(1) "
|
|
や
|
|
.BR su "(1) のような) "
|
|
特権許可プログラム
|
|
がこの API に従うことで、
|
|
標準の認証作業を遂行するようになります。
|
|
|
|
.sp
|
|
PAM アプローチの基本的な特徴は、認証作業の性質を動的に設定可能とすることです。
|
|
言い換えると、個々のサービス提供アプリケーションがユーザを認証する方法を、
|
|
システム管理者は自由に選択できます。
|
|
この動的設定は、単一の
|
|
.BR PAM
|
|
設定ファイル
|
|
.BR /etc/pam.conf
|
|
の内容で設定されます。
|
|
また、ディレクトリ
|
|
.B /etc/pam.d/
|
|
に個々の設定ファイルを置くことで、設定を行うこともできます。
|
|
.IB "このディレクトリがあると " PAM " は "
|
|
.BI /etc/pam.conf " を無視します。"
|
|
|
|
.sp
|
|
このマニュアルが対象とするシステム管理者にとっては、
|
|
.BR PAM
|
|
ライブラリの内部動作を理解することは最重要ではありません。
|
|
理解すべき重要なことは、設定ファイルがアプリケーション
|
|
.RB ( サービス )
|
|
と実際に認証作業を行うプラグ可能認証モジュール
|
|
.RB ( PAM )
|
|
との間の接続を
|
|
.I 定義する
|
|
ことです。
|
|
|
|
.sp
|
|
.BR PAM
|
|
は、
|
|
.I 認証
|
|
作業を次の 4 個の独立した管理グループに分割します:
|
|
.BR "account" " management (アカウント管理); "
|
|
.BR "auth" "entication management (認証管理); "
|
|
.BR "password" " management (パスワード管理); "
|
|
.BR "session" " management (セッション管理)。"
|
|
(設定ファイルでグループを表すために使用する短縮形を目立たさせています。)
|
|
|
|
.sp
|
|
簡単に言うと、これらのグループは、
|
|
それぞれ、
|
|
ある制限されたサービスに対する典型的なユーザ要求が持つ、異なった側面の
|
|
面倒をみています。
|
|
|
|
.sp
|
|
.BR account " - "
|
|
アカウント証明型のサービスを提供します。
|
|
「ユーザのパスワードが期限切れになったか?」
|
|
「このユーザは、要求するサービスにアクセスを許されているか?」
|
|
といった事柄を扱います。
|
|
|
|
.br
|
|
.BR auth "entication - "
|
|
ユーザが名乗っている人物本人であることを確定します。
|
|
この確定は、通常は、ユーザが満すべき「挑戦 - 応答」の要求で実現されます。
|
|
例えば「あなたが名乗っているその人本人であるなら、
|
|
あなたのパスワードを入力してください。」が該当します。
|
|
全部の認証がこの型であるわけではなく、
|
|
(スマートカードや生物測定学デバイスなどを使用する)
|
|
ハードウェアベースの認証方法があり、
|
|
適切なモジュールを使用することで、
|
|
より標準的な認証アプローチをシームレスに置き換え可能です -
|
|
これが
|
|
.BR PAM
|
|
の柔軟性です。
|
|
|
|
.br
|
|
.BR password " - "
|
|
このグループの責任は、認証機構を更新することです。
|
|
このようなサービスは
|
|
.BR auth
|
|
グループのサービスと強く結び付いているのが普通です。
|
|
認証機構によっては、自己の更新をこの機能に任せているものがあります。
|
|
標準の UN*X のパスワードベースのアクセスは、明らかな例です。
|
|
「代わりのパスワードを入力してください。」がこれに該当します。
|
|
|
|
.br
|
|
.BR session " - "
|
|
このグループの仕事は、サービス提供の前後に実行されるべきことをカバーします。
|
|
このような作業には、認証記録の維持と、
|
|
ユーザのホームディレクトリのマウントが含まれます。
|
|
開始時と終了時に
|
|
ユーザが利用可能なサービスに影響を与える
|
|
モジュールへのフックを提供するので、
|
|
.BR session
|
|
管理グループは重要です。
|
|
|
|
.SH 設定ファイル
|
|
|
|
.BR PAM
|
|
を意識した特権許可アプリケーションは、
|
|
開始時に PAM-API への取り付けを起動します。
|
|
この起動により多くの作業が行われますが、
|
|
最重要事項は設定ファイル
|
|
.BR /etc/pam.conf
|
|
の読み込みです。
|
|
これは、
|
|
.BR /etc/pam.d/
|
|
ディレクトリの内容であることもあります。
|
|
|
|
これらのファイルは、このサービスが要求する認証作業を行う
|
|
.BR PAM
|
|
の一覧と、個々の
|
|
.BR PAM
|
|
が失敗したときの PAM-API の適切な動作の一覧をリストします。
|
|
|
|
.sp
|
|
.B /etc/pam.conf
|
|
設定ファイルの文法は次の通りです。
|
|
ファイルはルールのリストから構成されます。
|
|
個々のルールは普通は単一行ですが、
|
|
`\\<LF>' で行末をエスケープすることで複数行に渡ることが可能です。
|
|
コメントは、前に `#' マークを置き、行末まで続きます。
|
|
|
|
.sp
|
|
各ルールは、空白で区切ったトークンの集合です。
|
|
最初の 3 つは大文字小文字を区別します:
|
|
|
|
.sp
|
|
.br
|
|
.BR " service type control module-path module-arguments"
|
|
|
|
.sp
|
|
.B /etc/pam.d/
|
|
ディレクトリ中のファイルの文法は、
|
|
.I service
|
|
フィールドが無い以外は同じです。
|
|
この場合、
|
|
.I service
|
|
は
|
|
.B /etc/pam.d/
|
|
ディレクトリ中のファイルの名前です。
|
|
このファイル名は小文字であることが必要です。
|
|
|
|
.sp
|
|
.BR PAM
|
|
の重要機能は、
|
|
ある認証作業用に多くの PAM のサービスを組合せる目的で、多くのルールを
|
|
.I 積み重ね可能
|
|
ということです。
|
|
|
|
.sp
|
|
.BR service
|
|
は、普通は、対応するアプリケーションの親しみのある名前です。
|
|
.BR login
|
|
や
|
|
.BR su
|
|
は良い例です。
|
|
.BR service " 名 " other
|
|
は
|
|
.I デフォルト
|
|
ルールを与えるために予約されています。
|
|
現在のサービスに関して言及する行のみが
|
|
(そのような行が存在しない場合は
|
|
.BR other
|
|
エントリが)、指定したアプリケーションに関連付けられます。
|
|
|
|
.sp
|
|
.BR type
|
|
は、そのルールに対応する管理グループです。
|
|
後続するモジュールをどの管理グループに関連付けるべきかを
|
|
指定するために使用されます。
|
|
有効なエントリは
|
|
.BR account "; "
|
|
.BR auth "; "
|
|
.BR password "; "
|
|
.BR session
|
|
です。
|
|
これらのトークンの意味は前述してあります。
|
|
|
|
.sp
|
|
第 3 のフィールド
|
|
.BR control
|
|
は、PAM-API がこの認証作業に失敗したときにどうすべきかを示します。
|
|
有効な
|
|
.BR control
|
|
の値は次の通りです。
|
|
.BR requisite
|
|
- この PAM が失敗すると、認証処理は即ちに終了します;
|
|
.BR required
|
|
- この PAM が失敗すると、究極的には PAM-API は失敗を返しますが、
|
|
それはこの
|
|
.RB "(" service
|
|
および
|
|
.BR type
|
|
の) 積み重なっているモジュールの残りが呼び出されたあとです;
|
|
.BR sufficient
|
|
- この種のモジュールが成功すると、
|
|
モジュールの積み重ねの認証条件を満します
|
|
(これより前の
|
|
.BR required
|
|
モジュールが失敗していた場合、このモジュールの成功は
|
|
.I 無視
|
|
されます);
|
|
.BR optional
|
|
- この
|
|
.BR service "+" type
|
|
に関連付けられているモジュールの積み重ねにおける唯一のモジュールである
|
|
場合のみ、このモジュールの成否は意味を持ちます。
|
|
|
|
.sp
|
|
.BR module-path
|
|
- アプリケーションが使用する PAM の完全なファイル名です。
|
|
|
|
.sp
|
|
.BR module-arguments
|
|
- 空白で区切られたトークンのリストであり、
|
|
指定した PAM の特定の動作を修正するために使用可能です。
|
|
引数については、個々のモジュールについて記述されているでしょう。
|
|
|
|
.SH 関連ファイル
|
|
.BR /etc/pam.conf " - 設定ファイル。"
|
|
.br
|
|
.BR /etc/pam.d/ " - "
|
|
.BR PAM
|
|
の設定ディレクトリ。本ディレクトリが存在する場合、
|
|
.B /etc/pam.conf
|
|
ファイルは無視されます。
|
|
.br
|
|
.BR /usr/lib/libpam.so.X " - 動的ライブラリ。"
|
|
.br
|
|
.BR /usr/lib/pam_*.so " - PAM。
|
|
|
|
.SH エラー
|
|
ライブラリの
|
|
.BR PAM
|
|
システムが発生する典型的なエラーは、
|
|
.BR syslog "(3)"
|
|
に書き込まれます。
|
|
|
|
.SH 準拠
|
|
DCE-RFC 86.0, October 1995.
|
|
.br
|
|
現在 DCE-RFC 委員会で検討されている追加機能も含まれています。
|
|
|
|
.SH バグ
|
|
.sp 2
|
|
知られているものはありません。
|
|
|
|
.SH 関連項目
|
|
|
|
.BR "システム管理者用" "、"
|
|
.BR "モジュール開発者用" "、"
|
|
.BR "アプリケーション開発者用
|
|
の、3 つの
|
|
.BR Linux-PAM
|
|
ガイド。
|