Zum Inhalt springen

Pluggable Authentication Modules

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 9. Juni 2005 um 15:47 Uhr durch Noerion (Diskussion | Beiträge). Sie kann sich erheblich von der aktuellen Version unterscheiden.
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Pluggable Authentication Module

Um die Sicherheit von Unix- und Linuxsystemen zu erhöhen, sollte man die PAM benutzen, so wird vermieden das ein Programm spezielle Privilegien braucht um die shadow oder Passwortdatei zu lesen. Außerdem kann man nun bequem die Authentifizierungsstrategie anpassen oder ändern, ohne dass jede involvierte Applikation neu übersetzt (compiliert) werden muss.
Der wohl wichtigste Grund PAM zu benutzen liegt aber darin, dass sowohl der Zugang zum System als auch die Rechte der User und Programme regulierbar sind. Das Passwort muss nun nicht mehr zwangsläufig aus der Passwortdatei gelesen werden, es durchaus von einem anderem Server stammen. Dies ermögliche z.B. das Nutzen von Kerberos.
Wenn man PAM verwendet, wird eine Abstaktionsschicht eingefügt.Wie im folgenen Bild zu sehen ist, müssen sich Programme und auch Nutzer nun nicht mehr direkt Authentifizieren.

Es können nun die vom PAM zur Verfügung gestellten Bibliotheken benutzt werden. Diese Zugriffe können dann zentral über eine Konfigurationsdateien administriert werden. Wenn man sich das Bild ansieht, kann man sich leicht die Funktionsweise von PAM herleiten.

  • Ein Benutzer möchte sich bei einem Dienst authentifizieren
  • Der Dienst leitet die Anfrage an PAM weiter
  • PAM authentifiziert den Benutzer, oder auch nicht
  • PAM liefert die Freigabe / Ablehnung an den Dienst zurück

Quellen

[Thomas Glanzmann: Unix-Encrypt Password System, shadow, Pluggable Authentication Module]

[fh-wedel]

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Pluggable_Authentication_Modules&oldid=6320956