Accueil🇫🇷Chercher

Pluggable Authentication Modules

En informatique, Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM) est un mécanisme permettant d'intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau, permettant de ce fait de rendre indépendants du schéma les logiciels réclamant une authentification.

PAM est une création de Sun Microsystems et est supporté en 2006 sur les architectures Solaris, Linux, FreeBSD, NetBSD, AIX et HP-UX.

L'administrateur système peut alors définir une stratégie d'authentification sans devoir recompiler des programmes d'authentification. PAM permet de contrôler la manière dont les modules sont enfichés dans les programmes en modifiant un fichier de configuration.

Les programmes qui donnent aux utilisateurs un accès à des privilèges doivent être capables de les authentifier. Lorsque vous vous connectez sur le système, vous indiquez votre nom et votre mot de passe. Le processus de connexion vérifie que vous êtes bien la personne que vous prétendez être. Il existe d'autres formes d'authentification que l'utilisation des mots de passe, qui peuvent d'ailleurs être stockés sous différentes formes.

Modules PAM

Les modules PAM sont des bibliothèques dynamiques (par ex. pam_unix.so) fournissant les six primitives d'authentification définies dans la norme, regroupées dans quatre mécanismes :

  • Le mĂ©canisme account fournit une seule primitive : il vĂ©rifie si le compte demandĂ© est disponible (si le compte n'est pas arrivĂ© Ă  expiration, si l'utilisateur est autorisĂ© Ă  se connecter Ă  cette heure de la journĂ©e, etc.).
  • Le mĂ©canisme auth fournit deux primitives ; il assure l'authentification rĂ©elle, Ă©ventuellement en demandant et en vĂ©rifiant un mot de passe, et il dĂ©finit des « certificats d'identitĂ© » tels que l'appartenance Ă  un groupe ou des « tickets » kerberos.
  • Le mĂ©canisme password fournit une seule primitive : il permet de mettre Ă  jour le jeton d'authentification (en gĂ©nĂ©ral un mot de passe), soit parce qu'il a expirĂ©, soit parce que l'utilisateur souhaite le modifier.
  • Le mĂ©canisme session fournit deux primitives : mise en place et fermeture de la session. Il est activĂ© une fois qu'un utilisateur a Ă©tĂ© autorisĂ© afin de lui permettre d'utiliser son compte. Il lui fournit certaines ressources et certains services, par exemple en montant son rĂ©pertoire personnel, en rendant sa boĂ®te aux lettres disponible, en lançant un agent ssh, etc.

Extensions

  • pam_mount est une extension de PAM permettant de monter un système de fichiers quand un utilisateur se connecte. On pourra par exemple lancer le montage d’un rĂ©pertoire CIFS en utilisant le mot de passe que l’utilisateur vient de rentrer. De plus, la partition sera dĂ©montĂ©e quand l’utilisateur va se dĂ©connecter. En le combinant avec le module pam_ldap, il permet d’utiliser le couple SaMBa/OpenLDAP pour l’authentification et la gestion des rĂ©pertoires utilisateur sous Linux. Mais les fonctions de pam_mount ne s’arrĂŞtent pas lĂ  : il permet aussi de monter Ă  la connexion des partitions de nombreux types comme des partitions chiffrĂ©es comme loop-AES.

Voir aussi

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.