PAM - Pluggable Authentication Modules

Reading time: 3 minutes

Informations de base

PAM (Pluggable Authentication Modules) agit comme un mécanisme de sécurité qui vérifie l'identité des utilisateurs tentant d'accéder aux services informatiques, contrôlant leur accès en fonction de divers critères. C'est semblable à un gardien numérique, garantissant que seuls les utilisateurs autorisés peuvent interagir avec des services spécifiques tout en limitant potentiellement leur utilisation pour éviter les surcharges du système.

Fichiers de configuration

• Les systèmes Solaris et basés sur UNIX utilisent généralement un fichier de configuration central situé à /etc/pam.conf.
• Les systèmes Linux préfèrent une approche par répertoire, stockant des configurations spécifiques aux services dans /etc/pam.d. Par exemple, le fichier de configuration pour le service de connexion se trouve à /etc/pam.d/login.

Un exemple de configuration PAM pour le service de connexion pourrait ressembler à ceci :

auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so

Royaumes de gestion PAM

Ces royaumes, ou groupes de gestion, incluent auth, account, password et session, chacun responsable de différents aspects du processus d'authentification et de gestion des sessions :

• Auth : Valide l'identité de l'utilisateur, souvent en demandant un mot de passe.
• Account : Gère la vérification des comptes, vérifiant des conditions telles que l'appartenance à un groupe ou des restrictions horaires.
• Password : Gère les mises à jour de mot de passe, y compris les vérifications de complexité ou la prévention des attaques par dictionnaire.
• Session : Gère les actions lors du début ou de la fin d'une session de service, comme le montage de répertoires ou la définition de limites de ressources.

Contrôles des modules PAM

Les contrôles dictent la réponse du module en cas de succès ou d'échec, influençant le processus d'authentification global. Ceux-ci incluent :

• Required : L'échec d'un module requis entraîne un échec final, mais seulement après que tous les modules suivants aient été vérifiés.
• Requisite : Terminaison immédiate du processus en cas d'échec.
• Sufficient : Le succès contourne les autres vérifications du même royaume à moins qu'un module suivant échoue.
• Optional : Ne cause un échec que si c'est le seul module dans la pile.

Scénario d'exemple

Dans une configuration avec plusieurs modules d'authentification, le processus suit un ordre strict. Si le module pam_securetty trouve le terminal de connexion non autorisé, les connexions root sont bloquées, mais tous les modules sont tout de même traités en raison de son statut "required". Le pam_env définit des variables d'environnement, aidant potentiellement à l'expérience utilisateur. Les modules pam_ldap et pam_unix travaillent ensemble pour authentifier l'utilisateur, pam_unix tentant d'utiliser un mot de passe précédemment fourni, améliorant l'efficacité et la flexibilité des méthodes d'authentification.

Références

• https://hotpotato.tistory.com/434