自動PAMモジュールの取り付け

自動PAMモジュールの取り付け

LDAPに似たHTTP認証を提供するPAMモジュールのサイレントインストールプロセスを設定しようとしています。これは代替認証モジュールなので、次のものを追加する必要があります。

auth sufficient mypam.so authserver=https://someserver.com

私のアプリケーションはユーザー認証を「受信」するデーモンなので、独自の設定ファイルを使用する資格がないため、他のエントリ(GDM、SSHなど)に含める必要があります。

デフォルトでは、ここには2つのオプションがあります。

  • 適切な設定ファイルに追加するか、変更を記録します。
  • 追加する行とシステム管理者の手動編集提案を出力します。

* nix管理者は、次の2つのオプションのうちどれを好みますか?

* nix管理者が好む他の方法はありますか?

メモ:

私はこれを企業環境で広く使用できるようにシステム管理者に宣伝しようとしています。これはエンドユーザーに販売される可能性がありますが、この場合はデフォルトで最初のオプションを使用します。

答え1

pam設定ファイルを自動的に変更するのは良い考えではないと思います。

  1. 可能な構成が多すぎるため、どの構成行に挿入する必要があるかを予測することは不可能です。
  2. 構成が複数のファイルに分割され、基本構成に含まれることもあります。
  3. ユーザーは、システム全体のサービスではなく、ssh や ftp などの指定されたサービスでのみ認証バックエンドを使用したい場合があります。
  4. 最悪の場合、pam 構成を操作すると、次のような結果が生じる可能性があります。
    • システムログインの防止
    • 効果なし(後に置くとpam_permit
    • 任意の資格情報(?)を使用してログインできます。

良いアイデアは、モジュールを使用してデータベースにのみログイン、データベースまたはシステムユーザーとしてログインなどを実行する方法を示すいくつかのサンプル設定ファイルを提供することです。

関連情報