PAM(7) | Manual de Linux-PAM | PAM(7) |
PAM, pam - Módulos de autentificación conectables para Linux
Esta página de manual intenta proporcionar una rápida introducción a Linux-PAM. Consulte Linux-PAM system administrators guide para más información.
Linux-PAM es un conjunto de bibliotecas que permiten a las distintas aplicaciones (servicios) gestionar la autentificación en un determinado sistema. Esta biblioteca proporciona una API estable para que aplicaciones de gestión de privilegios (login(1)y su(1) son buenos ejemplos de ello) gestionen la autentificación.
La principal característica de PAM es que la propia naturaleza de la autentificación es dinámicamente configurable, es decir que el administrador del sistema puede decidir cómo las distintas aplicaciones de un sistema van a autentificar a los usuarios. Esta configuración viene definida en el contenido del archivo de configuración de Linux-PAM /etc/pam.conf. También es posible definir la configuración mediante archivos individuales en el directorio /etc/pam.d/ . Si está presente este directorio, Linux-PAM no tiene en cuenta el archivo /etc/pam.conf.
Los archivos de configuración de PAM de cada distribución pueden instalarse en el directorio de configuración del sistema /usr/lib/pam.d/ en lugar de usar el directorio principal de los archivos de configuración /etc/pam.d/. Si no se encuentra un archivo de configuración en /etc, se utilizarán los que proporcione la distribución. Los archivos en /etc/pam.d/ prevalecen sobre aquello con el mismo nombre localizados en otros directorios.
Desde el punto de vista de un administrador de sistemas, a quien va dirigida esta página de manual, no tiene gran importancia el hecho de entender el funcionamiento interno de la biblioteca Linux-PAM. Lo fundamental es entender que el/los archivos de configuración definen la relación entre las aplicaciones y los distintos módulos de PAM que efectuarán las autentificaciones.
Linux-PAM divide la tarea de autentificación en cuatro grupos independientes:account o gestión de cuentas; auth o manejo de la autentificación; password donde se gestionan las contraseñas y session para todo lo relativo a las sesiones de los distintos usuarios. (Estas cuatro palabras resaltadas son los nombres que se emplean en el archivo de configuración).
En definitiva,estos grupos llevan a cabo las diversas tareas cuando un usuario normal solicita un determinado servicio para el que se requieren más privilegios:
account - realiza diversas verificaciones en las cuentas. Por ejemplo: ¿tiene la contraseña en vigor? ¿tiene permiso para acceder a un determinado servicio?
auth - autentifica a los usuarios y define sus credenciales. Esto suele realizarse mediante algún tipo de desafío-respuesta que el usuario debe cumplir del tipo: si usted es quien dice ser, introduzca su contraseña. No todas las autentificaciones se realizan de este modo, existen dispositivos hardware tales como tarjetas inteligentes e incluso dispositivos biométricos que, si existen los pertinentes módulos, pueden ir sustituyendo paulatinamente a otros métodos más tradicionales de autentificación. Este es una de las ventajas de la gran flexibilidad de Linux-PAM.
password - este grupo es responsable de actualizar los mecanismos de autentificación, que suelen ir ligados a los del grupo auth. Algunos de estos mecanismos se prestan especialmente a permitir la actualización con esta función, un buen ejemplo es el sistema estándar UNIX de acceso con contraseña: el típico "por favor, introduzca la nueva contraseña:"
session - este grupo se encarga de las tareas que se llevan a cabo antes de iniciar un determinado servicio y después de finalizarlo. Estas tareas incluyen tareas como la gestión de archivos de registro o el montaje del directorio home del usuario. Este grupo de gestión es importante ya que proporciona una eficaz manera de hacer que antes y después de cargar cada módulo se ejecuten ciertas tareas que afectan a las aplicaciones a las que dan servicio.
/etc/pam.conf
/etc/pam.d
/usr/lib/pam.d
<dir_distribución>/pam.d
Generalmente, los mensajes de error creados por las bibliotecas Linux-PAM se envían a syslog(3).
DCE-RFC 86.0, Octubre de 1995. Contiene algunas características adicionales pero se sigue preservando la compatibilidad este RFC.
pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(7)
La traducción al español de esta página del manual fue creada por Marcos Fouces <marcos@debian.org>
Esta traducción es documentación libre; lea la GNU General Public License Version 3 o posterior con respecto a las condiciones de copyright. No existe NINGUNA RESPONSABILIDAD.
Si encuentra algún error en la traducción de esta página del manual, envíe un correo electrónico a debian-l10n-spanish@lists.debian.org>..
06/08/2020 | Manual de Linux-PAM |