Das pam-config-Tool hilft Ihnen bei der Konfiguration der globalen PAM-Konfigurationsdateien unter /etc/pam.d/common-*-pc
sowie mehreren ausgewählten Anwendungskonfigurationen. Eine Liste unterstützter Module erhalten Sie über das Kommando pam-config --list-modules. Mit dem Kommando pam-config können Sie Ihre PAM-Konfigurationsdateien verwalten. Sie können Ihren PAM-Konfigurationen neue Module hinzufügen oder Module löschen und die Optionen einzelner Module ändern. Wenn Sie die globalen PAM-Konfigurationsdateien ändern, ist keine Bearbeitung des PAM-Setups für einzelne Anwendungen erforderlich.
Ein einfaches Szenarium, in dem die Funktionen von pam-config von Nutzen sind, sieht zum Beispiel wie folgt aus:
Automatische Generierung einer neuen PAM-Konfiguration für Unix.
Erstellen Sie mit pam-config eine möglichst einfache Konfiguration, die Sie später erweitern können. Das Kommando pam-config --create erstellt eine einfache UNIX-Authentifizierungskonfiguration. Bereits vorhandene, nicht von pam-config verwaltete Konfigurationsdateien werden überschrieben. Allerdings werden von diesen Dateien Sicherungskopien mit dem Namen *.pam-config-backup
erstellt.
Hinzufügen einer neuen Authentifizierungsmethode.
Zum Hinzufügen einer neuen Authentifizierungsmethode (z. B. LDAP) zu Ihrem PAM-Modulstapel benötigen Sie lediglich das Kommando pam-config --add --ldap. Die LDAP-Authentifizierungsmethode wird allen common-*-pc
-PAM-Konfigurationsdateien hinzugefügt, auf die diese Methode anwendbar ist.
Aktivieren der Debug-Funktion für Testzwecke.
Um sicherzustellen, dass die neue Authentifizierungsmethode wie geplant funktioniert, aktivieren Sie die Debug-Funktion für alle PAM-Vorgänge. Im Falle von LDAP verwenden Sie dazu das Kommando pam-config --add --ldap-debug. Die Debug-Ausgabe finden Sie unter /var/log/messages
.
Abfragen der Konfiguration.
Bevor Sie die neue PAM-Konfiguration anwenden, sollten Sie sicherstellen, dass sie alle gewünschten Optionen enthält. Das Modul pam-config --query -- gibt sowohl den Typ als auch die Optionen des abgefragten PAM-Moduls zurück.
Entfernen der Debug-Optionen. Wenn Sie mit Ihrer neuen Konfiguration zufrieden sind, entfernen Sie die Debug-Optionen. Im Falle von LDAP verwenden Sie dazu das Kommando pam-config --delete --ldap-debug. Falls Sie auch für andere Module Debug-Optionen hinzugefügt haben, deaktivieren Sie diese mit den betreffenden Kommandos.
Wenn Sie Ihre PAM-Konfigurationsdateien mit dem Kommando pam-config --create völlig neu erstellen, werden symbolische Links zwischen den common-*
-Dateien und den common-*-pc
-Dateien erstellt. pam-config bearbeitet nur die common-*-pc
-Konfigurationdateien. Falls Sie diese symbolischen Links entfernen, setzen Sie pam-config praktisch außer Kraft, da pam-config nur die common-*-pc
-Dateien bearbeitet, diese aber ohne die symbolischen Links nicht verwendet werden können.
Weitere Informationen zum Kommando pam-config und dessen Optionen finden Sie auf der man-Seite von pam-config (pam-config(8)).