pam(8) FreeBSD 一般コマンドマニュアル

pam

前のページ 上に戻る 次のページ

pam




書式

       /etc/pam.conf




解説

       本 マニュアルの目的は、 PAM のクイックイントロダクションで
       す。更なる情報は、 Linux-PAM system administrators'  guide
       を御覧ください。


       PAM は、システム上でアプリケーション (サービス) の認証作業
       を行うライブラリシステムです。本ライブラリは、一般的な不変
       のインタフェース (アプリケーションプログラミングインタフェ
       ース - API) を提供します。 (login(1)su(1) のような) 特
       権 許可プログラムがこの API に従うことで、標準の認証作業を
       遂行するようになります。


       PAM アプローチの基本的な特徴は、認証作業の性質を動的に設定
       可能とすることです。言い換えると、個々のサービス提供アプリ
       ケーションがユーザを認証する方法を、システム管理者は自由に
       選 択 で き ま す。この動的設定は、単一の PAM 設定ファイル
       /etc/pam.conf の内容で設定されます。また、ディ レ ク ト リ
       /etc/pam.d/ に個々の設定ファイルを置くことで、設定を行うこ
       ともできます。 この ディ レ ク ト リ が あ る と  PAM/etc/pam.conf を無視します。


       こ の マニュアルが対象とするシステム管理者にとっては、 PAM
       ライブラリの内部動作を理解することは最重要ではありません。
       理解すべき重要なことは、設定ファイルがアプリケーション (B>サ
       B>ーB>ビB>ス) と実際に認証作業を行うプラグ可能認証 モ ジュ ー ル
       (PAM) との間の接続を 定義することです。


       PAM は、 認証作業を次の 4 個の独立した管理グループに分割し
       ます: account management (アカウント管理);  authentication
       management  ( 認証管理); password management (パスワード管
       理); session management (セッション管理)。 (設定ファイルで
       グループを表すために使用する短縮形を目立たさせています。)


       簡単に言うと、これらのグループは、それぞれ、ある制限された
       サービスに対する典型的なユーザ要求が持つ、異なった側面の面
       倒をみています。


       account - アカウント証明型のサービスを提供します。「ユーザ
       のパスワードが期限切れになったか?」「このユーザは、要求す
       るサービスにアクセスを許されているか?」といった事柄を扱い
       付いているのが普通です。認証機構によっては、自己の更新をこ
       の機能に任せているものがあります。標準の UN*X のパスワード
       ベースのアクセスは、明らかな例です。「代わりのパスワードを
       入力してください。」がこれに該当します。

       session - このグループの仕事は、サービス提供の前後に実行さ
       れるべきことをカバーします。このような作業には、認証記録の
       維持と、ユーザのホームディレクトリのマウントが含まれます。
       開始時と終了時にユーザが利用可能なサービスに影響を与えるモ
       ジュ ールへのフックを提供するので、 session 管理グループは
       重要です。



設定ファイル

       PAM を意識した特権許可アプリケーションは、開始時に PAM-API
       への取り付けを起動します。この起動により多くの作業が行われ
       ますが、最重要事項は設定ファイル /etc/pam.conf の読み込 み
       で す。これは、 /etc/pam.d/ ディレクトリの内容であることも
       あります。

       これらのファイルは、このサービスが要求する認証作業を 行 う
       PAM の一覧と、個々の PAM が失敗したときの PAM-API の適切な
       動作の一覧をリストします。


       /etc/pam.conf 設定ファイルの文法は次の通りです。ファイルは
       ルールのリストから構成されます。個々のルールは普通は単一行
       ですが、 `\<LF>' で行末をエスケープすることで複数行に渡 る
       こ とが可能です。コメントは、前に `#' マークを置き、行末ま
       で続きます。


       各ルールは、空白で区切ったトークンの集合です。最初の 3  つ
       は大文字小文字を区別します:


          service  type  control  module-path  module-arguments


       /etc/pam.d/   ディ レ クトリ中のファイルの文法は、 service
       フィールドが無い以外は同じです。この 場 合、  service/etc/pam.d/ ディレクトリ中のファイルの名前です。このファイ
       ル名は小文字であることが必要です。


       PAM の重要機能は、ある認証作業用に多くの PAM のサービス を
       組 合 せ る目的で、多くのルールを 積み重ね可能ということで
       す。


       service は、普通は、対応するアプリケーションの親しみのある
       名前です。 loginsu は良い例です。 serviceother は
       の通りです。 requisite - この PAM が失敗すると、認証処理は
       即ちに終了します; required - この PAM が失敗すると、究極的
       には PAM-API は失敗を返しますが、それはこの (service お よ
       び type の) 積み重なっているモジュールの残りが呼び出された
       あとです; sufficient - この種のモジュールが成功すると、 モ
       ジュ ー ル の 積 み 重ねの認証条件を満します (これより前の
       required モジュールが失敗していた場合、このモジュールの 成
       功 は 無視されます); optional - この service+type に関連付
       けられているモジュールの積み重ねにおける唯一のモジュールで
       ある場合のみ、このモジュールの成否は意味を持ちます。


       module-path  - アプリケーションが使用する PAM の完全なファ
       イル名です。


       module-arguments - 空白で区切られたトークンのリス ト で あ
       り、 指 定 した PAM の特定の動作を修正するために使用可能で
       す。引数については、個々のモジュールについて記述されている
       でしょう。



関連ファイル

       /etc/pam.conf - 設定ファイル。
       /etc/pam.d/ - PAM の設定ディレクトリ。本ディレクトリが存在
       する場合、 /etc/pam.conf ファイルは無視されます。
       /usr/lib/libpam.so.X - 動的ライブラリ。
       /usr/lib/pam_*.so - PAM。



エラー

       ライブラリの PAM システムが発生する典型的なエラーは、 sys-
       log(3) に書き込まれます。



準拠

       DCE-RFC 86.0, October 1995.
       現 在 DCE-RFC 委員会で検討されている追加機能も含まれていま
       す。



バグ

       知られているものはありません。



関連項目

       B>シB>スB>テB>ムB>管B>理B>者B>用、 B>モB>ジB>ュB>ーB>ルB>開B>発B>者B>用、 B>アB>プB>リB>ケB>ーB>シB>ョB>ンB>開
       B>発B>者B>用の、3 つの Linux-PAM ガイド。



PAM 0.56                    1997 Feb 9                     PAM(8)

ABELNET VPSサービス