login v RH 4.0

Pavel Kankovsky peak na kerberos.troja.mff.cuni.cz
Čtvrtek Listopad 14 21:48:05 CET 1996


On Thu, 14 Nov 1996, Martin [Keso] Keseg wrote:

> > Ja nevim, co Vam na tom jednom proces vadi... :)
Ajajaj... ja jsem to chtel cancelovat, ale misto toho jsem to poslal.

> Nuz na tom procese mi vadi to ze neviem co to robi a na co mi bezi, kedze
> mam doma single stroj tak aj cron mam vyhodeny ...

No dobre, takze verejne vysvetlim k cemu je to dobre:

cele to souvisi s PAMem (Pluggable Authentication Modules), coz je metoda,
jak flexibilne provadet overovani uzivatelu a zaridit veci kolem toho
(aniz by bylo nutno pokazde, kdyz se objevi neco noveho, modifikovat
login, su, xlock, ftpd, sshd... jak jiste zna kazdy, kdo nekdy zkousel
zmenit non-shadow passwords na shadow passwords); PAM vymysleli u Sunu a
mj. i diky RH se to objevilo i pod Linuxem

funguje to tak, ze ke kazde sluzbe je v konfiguraku (/etc/pam.conf) popis
modulu, ktere maji byt pouzity a ty maji definovane rozhrani, co se ma
udelat na zacatku seance (napr. overit heslo, zaznamenat to do utmp/wtmp, 
vytvorit "capability" (objekt reprezentujici pravo pristupu--napr
Kerberovy ticket), prilogovat se k Netware) a na konci seance (napr.
smazat capability, smazani zaznamu z utmp, odlogovat se od NW..)

[poznamka na okraj o utmp/wtmp: je pravda, ze klasicky pristup tak nejak
funguje, ale musi se tim explicite zabyvat: login, init, telnetd,
rlogind, ftpd..., zatimco pod PAMem je to vyhradne zalezitost modulu
pam_unix_session, o kterem ani nemusi zadny z vyse uvedenych programu nic 
predem vedet, nebot si to precte v pam.conf]

Ten login tudiz nebezi, ale spi do te doby, nez se clovek odloguje, aby
provedl vyse popsane uklidove prace. Je pravda, ze zabira jiste procento
systemovych prostredku, ale vzhledem k jeho minimalni aktivite je to
opravdu minimum (narozdil treba od zmineneho crond).

--Pavel Kankovsky aka Peak (troja.mff.cuni.cz network administration)



Další informace o konferenci Linux