LDAP와 유사한 HTTP 인증을 제공하는 PAM 모듈에 대한 자동 설치 프로세스를 설정하려고 합니다. 이는 대체 인증 모듈이므로 다음과 같은 것을 추가해야 합니다.
auth sufficient mypam.so authserver=https://someserver.com
내 애플리케이션은 사용자 인증을 "수신"하는 데몬이므로 자체 구성 파일을 사용할 자격이 없으므로 다른 항목(GDM, SSH 등)에 포함시켜야 합니다.
기본적으로 여기에는 두 가지 옵션이 있습니다.
- 적절한 구성 파일에 추가하거나 변경 사항을 기록합니다.
- 추가할 라인과 시스템 관리자의 수동 편집 제안을 출력합니다.
*nix 관리자는 다음 두 가지 옵션 중 무엇을 선호합니까?
*nix 관리자가 선호하는 다른 방법이 있습니까?
노트:
저는 이것을 기업 환경에서 널리 사용할 수 있도록 시스템 관리자에게 홍보하려고 합니다. 이는 최종 사용자에게 판매될 수도 있지만 이 경우 기본적으로 첫 번째 옵션을 사용하겠습니다.
답변1
pam 구성 파일을 자동으로 변경하는 것은 좋은 생각이 아니라고 생각합니다.
- 가능한 구성이 너무 많아서 어떤 구성 줄에 삽입해야 할지 예측하는 것이 불가능합니다.
- 구성이 여러 파일로 분할되어 기본 구성에 포함되는 경우도 있습니다.
- 사용자는 시스템 전체 서비스가 아닌 ssh 또는 ftp와 같은 지정된 서비스에서만 인증 백엔드를 사용하기를 원할 수 있습니다.
- 최악의 경우 pam 구성을 조작하면 다음과 같은 결과가 발생할 수 있습니다.
- 시스템 로그인 방지(모듈 끝을 확인하도록 구성된 데이터베이스 및 모듈 큐가 없는 경우)
- 효과 없음 (뒤에 놓으면
pam_permit) - 임의의 자격 증명(?)을 사용하여 로그인할 수 있습니다.
좋은 아이디어는 모듈을 사용하여 데이터베이스로만 로그인, 데이터베이스 또는 시스템 사용자로 로그인 등을 수행하는 방법을 보여주는 몇 가지 샘플 구성 파일을 제공하는 것입니다.