Как использовать pam-модули для локальной аутентификации в linux по ключам гост-2012 на рутокене

Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount

Для автоматического монтирования разделяемых файловых ресурсов при входе пользователя используется pam модуль pam_mount, предоставляемый пакетом libpam-mount, то есть для автоматического монтирования разделяемых файловых ресурсов на компьютере-клиенте должны быть установлены пакет cifs-utils и libpam_mount:

sudo apt install cifs-utils

Настройка модуля pam_mount осуществляется с помощью конфигурационного файла /etc/security/pam_mount.conf.xml.

При установке пакета libpam_mount вызов модуля pam_mount автоматически вносится в соответствующие pam-сценарии (common-auth, common-session) в каталоге /etc/pam.d.

Описание возможностей модуля pam_mount и формат его конфигурационного файла приведены в руководстве для pam_mount и pam_mount.conf.

/etc/security/pam_mount.conf.xml

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="1" />

                <!-- Volume definitions -->
<logout wait="50000" hup="1" term="1" kill="1" />
<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS) </cifsmount>

                <!-- pam_mount parameters: General tunables -->
<!-- Описание тома, который должен монтироваться -->
<volume 
        fstype="cifs"
        server="ipa0.ipadomain.ru"
        path="share1"
        mountpoint="/media/%(USER)"
        options="user=%(USER),cruid=%(USER),sec=krb5i"
/>

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<logout wait="0" hup="no" term="no" kill="no" />

                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />


</pam_mount>

Вариант описания тома для монтирования домашних каталогов пользователей (предполагается, что на сервере samba настроен специальный ресурс home):

...
<volume 
        fstype="cifs"
        server="ipa0.ipadomain.ru"
        path="%(USER)"
        mountpoint="/home/%(USER)"
        options="user=%(USER),cruid=%(USER),sec=krb5i"
/>
...

При использовании с аутентификацией Kerberos в ЕПП в строке опций монтирования должен быть указан параметр аутентификации sec=krb5i (предпочтительно с точки зрения безопасности, но требует больше ресурсов) или sec=krb5. В этом случае при монтировании будет использоваться текущий кэш Kerberos пользователя.

Для точки монтирования mountpoint должен быть указан отдельный каталог, например: /media/ald_share. Пример:

Все определения PAM

Что означает PAM в тексте

В общем, PAM является аббревиатурой или аббревиатурой, которая определяется простым языком. Эта страница иллюстрирует, как PAM используется в обмена сообщениями и чат-форумах, в дополнение к социальным сетям, таким как VK, Instagram, Whatsapp и Snapchat. Из приведенной выше таблицы, вы можете просмотреть все значения PAM: некоторые из них образовательные термины, другие медицинские термины, и даже компьютерные термины. Если вы знаете другое определение PAM, пожалуйста, свяжитесь с нами. Мы включим его во время следующего обновления нашей базы данных. Пожалуйста, имейте в информации, что некоторые из наших сокращений и их определения создаются нашими посетителями. Поэтому ваше предложение о новых аббревиатур приветствуется! В качестве возврата мы перевели аббревиатуру PAM на испанский, французский, китайский, португальский, русский и т.д. Далее можно прокрутить вниз и щелкнуть в меню языка, чтобы найти значения PAM на других 42 языках.

Подборки

Армейские ПесниКлассика пианиноМузыка из рекламыДетские песни из мультфильмовМузыка для аэробикиСборник песен 70х годовДля любимого человекаКлассика в современной обработкеКлубные миксы русских исполнителей3D ЗвукДальнобойщикиЗарубежный рэп для машиныТоповые Клубные ТрекиМощные БасыДискотека 2000Песни про папуХристианские ПесниЗимняя МузыкаМузыка Для МедитацииРусские Хиты 90ХГрустная МузыкаRomantic SaxophoneТанцевальный хип-хопНовогодние песниЗарубежные хиты 80 — 90Песни про покемонаРомантическая МузыкаМотивация для тренировокМузыка для сексаМузыка в машинуДля силовых тренировокПремия «Grammy 2017»

Как настроить PAM в Linux

Все конфигурационные файлы PAM для различных приложений находятся в папке /etc/pam.d. Давайте посмотрим на конфигурационный файл для утилиты sudo:

Каждая строчка файла состоит из нескольких полей:

тип обязательность модуль параметры

Разберем подробнее:

• Первое поле — тип, определяет какой тип запроса к PAM надо выполнить. Существует четыре различных типа запроса auth (проверка данных входа, например, логина и пароля), account (проверка не истёк ли пароль пользователя), password (обновление пароля), и session (обслуживание сессии, например, логгирование и монтирование папок).
• Второе поле определяет как нужно интерпретировать результат, возвращённый модулем PAM. Доступно тоже несколько возможных вариантов: required (тест должен быть обязательно пройден, но следующие строки тоже будут проверяться), requisite (аналогично required, только если тест не проходит, то следующие строки уже не проверяются), sufficient (противоположно requisite, если тест проходит, то следующие строки уже не проверяются), optional (проваленные тесты игнорируются).
• Третье и четвертое поле — это название библиотеки модуля и её параметры. Всё это надо выполнить для выполнения теста авторизации или действия.

Кроме того, существуют директивы include, которые включают строки из других файлов так, как будто они были написаны в этом файле. Файл настройки sudo кажется совсем коротким, но в него включаются другие файлы. Давайте посмотрим ещё на файл /etc/pam.d/common-auth:

Здесь можно видеть более расширенный синтаксис параметра обязательности. Он позволяет лучше понять как всё это работает. Давайте его рассмотрим:

Модули PAM могут возвращать около 30-ти значений и они зависят от выбранного типа (account/auth/session…), вот они все: success, open_err, symbol_err, service_err, system_err, buf_err, perm_denied, auth_err, cred_insufficient, authinfo_unavail, user_unknown, maxtries, new_authtok_reqd, acct_expired, session_err, cred_unavail, cred_expired, cred_err, no_module_data, conv_err, authtok_err, authtok_recover_err, authtok_lock_busy, authtok_disable_aging, try_again, ignore, abort, authtok_expired, module_unknown, bad_item, conv_again, incomplete и default. Последнее, default, означает все поля, которые явно не заданы.

В качестве действия могут быть указанны такие значения:

• ignore — не влияет на общий код возврата в приложение;
• bad — расценивать это значение как свидетельство сбоя модуля;
• die — аналогично bad, только сразу возвращать управление в приложение;
• ok — значение должно влиять на общий возвращаемый результат, переопределяет общий результат если он раньше был успешен, но не отменяет сбой;
• done — аналогично ok, только управление сразу возвращается приложению.

Таким образом, те четыре варианта обязательности, которые мы рассматривали выше можно описать вот так:

• required:
• requisite:
• sufficient:
• optional:

Здесь:

• success — модуль вернул состояние успешно, поскольку значение ok, это состояние будет учтено если ни один предыдущий модуль не дал сбоя;
• new_authtok_reqd — модуль сообщает, что пароль пользователя желательно обновить;
• ignore — модуль просит игнорировать его результат, игнорируем;
• default — все остальные возвращаемые значение расцениваем как сбой.

Обратите внимание. что модуль возвращает только одно определенное значение и уже к нему применяется действие

Чтобы закрепить всё это на практике давайте рассмотрим как запретить авторизацию от имени пользователя losst на компьютере с помощью PAM. Для этого можно воспользоваться модулем /lib/security/pam_listfile.so. Он позволяет ограничить доступ для пользователей на основе файла со списком. Откройте файл /etc/pam.d/sshd и добавьте туда такую строчку:

Здесь мы используем тип запроса auth, обязательность required и указанный выше модуль. Вот его опции и их значения:

• onerr=succeed — если возникает ошибка, доступ разрешить;
• item=user — указывает, что в файле конфигурации находятся логины пользователей;
• sense=deny — действие, если логин пользователя найден в файле;
• file=/etc/denyusers — файл с логинами пользователей, для которых надо запретить доступ.

Теперь в файл /etc/denyusers добавьте имя пользователя losst, естественно, такой пользователь должен существовать в системе. Затем попробуйте перейти в любую консоль и авторизоваться от его имени. У вас ничего не выйдет, а в логе /var/log/security или /var/log/auth.log будет сообщение об ошибке:

А если эту строчку закомментировать, то всё снова заработает.

Что такое Winbind

Как упоминалось в статьях Изучаем Linux, 302 (смешанные среды): роли Samba и
Изучаем Linux, 302 (смешанные среды): управление доменом, в сетевом окружении Windows часто присутствует контроллер домена – компьютер, выполняющий аутентификацию всех компьютеров Windows в сети. Такая конфигурация существенно облегчает работу в сети, содержащей большое количество пользователей и компьютеров, поскольку в этом случае нет необходимости дублировать (и поддерживать в актуальном состоянии) информацию об учетных записях на разных компьютерах. Вместо этого вся информация об учетных записях Windows хранится на одном компьютере, позволяя администраторам централизованно управлять учетными данными, а пользователям – единожды менять свои пароли и использовать их на любых рабочих станциях домена.

С помощью различных опций сервер Samba можно настроить таким образом, чтобы он являлся рядовым сервером домена. Типичный набор глобальных опций для присоединения к домену может выглядеть следующим образом:

security = Domain
password server = CONTROL
domain logons = No
encrypt passwords = Yes

Если контроллер домена поддерживает функциональность служб Microsoft Active Directory Domain Services, то вместо опции можно использовать опцию . Кроме того, сервер Samba необходимо присоединить к домену с помощью команды , где – учетная запись администратора домена. За более подробным описанием процесса настройки сервера Samba в качестве члена домена обратитесь к статье Изучаем Linux, 302 (смешанные среды): роли Samba.

Все это хорошо подходит для сервера Samba, но, конечно, это не единственный сервер, который можно запустить на компьютере Linux. Другие серверы, а также локальные службы входа, теоретически могут получать преимущества от использования контроллера домена. Например, если некоторые компьютеры в сети являются рабочими станциями Linux, или если вы запускаете сервер электронной почты, работающий по протоколу Post Office Protocol (POP), на компьютере Linux, то для аутентификации удобнее использовать контроллер домена. Здесь в дело вступает Winbind, позволяющий пользователям и компьютерам Linux использовать учетные записи домена Windows для выполнения задач аутентификации, отличных от задач Samba.

Однако прежде, чем приступать к настройке Winbind, следует знать о его ограничениях. Поскольку аутентификация в доменах Microsoft ориентирована прежде всего на Windows, то она не выполняет некоторых функций, необходимых для работы с учетными записями Linux, например, не присваивает значения идентификаторам пользователей и групп (UID и GID) UNIX. Вместо этого в доменах Windows используются идентификаторы безопасности, которые нельзя напрямую сопоставить идентификаторам пользователей и групп Linux. Аналогично, контроллеры домена не хранят информацию о домашних директориях UNIX/Linux. Таким образом, Winbind должен генерировать часть этой информации локально. Этот способ подходит для многих ситуаций, однако, он означает, что на двух компьютерах Linux, использующих Winbind, для одного и того же пользователя могут быть запросто созданы различные идентификаторы UID и GID. Если данные компьютеры совместно работают с файлами, расположенными в сетевой файловой системе NFS, которая предполагает использование одинаковых UID и GID на всех серверах, то это может привести к негативным последствиям. В таких ситуациях лучше будет настроить в сетевом окружении сервер LDAP и использовать его в качестве хранилища как учетных записей Linux, так и доменных учетных записей Windows.

Winbind использует несколько различных компонентов:

• Опции файла smb.conf, относящиеся к Winbind.
• Опции конфигурации подсистемы подключаемых модулей аутентификации PAM, которая является стандартной частью современных дистрибутивов Linux.
• Опции конфигурации подсистемы Net Service Switch (NSS), которая является стандартной частью современных дистрибутивов Linux.
• Серверная программа .

Таким образом, для настройки Winbind необходимо внести изменения в каждую из вышеперечисленных конфигураций. Для использования Winbind не обязательно запускать демоны Samba и , однако, возможно, потребуется инсталлировать Samba, чтобы получить все необходимые вспомогательные файлы. Может потребоваться инсталлировать отдельный пакет Winbind, который обычно называется или . Также может потребоваться установить пакет . Убедитесь, что после инсталляции всех необходимых пакетов в вашей системе присутствуют файлы /lib/security/pam_winbind.so и /lib/libnss_winbind.so.2.

Footnotes

1. Episode commentary, Season 2, «Valentine’s Day»
2. Season 2 DVD, «Valentine’s Day», episode commentary
3. People Magazine, Week of 03/05/2010

Appearances

Character history

Seasons 1–3

While engaged to Roy, Pam denies, or is in denial about, having any romantic feelings for Jim. When Jim confesses his love for her at the Dunder Mifflin «Casino Night» she turns him down. She later talks to her mom on the phone and says Jim is her best friend (though she doesn’t say his name), and says «Yeah, I think I am» to an unheard question. She is interrupted by Jim, who enters and kisses her; she responds by kissing back.

Meanwhile, Roy vows to win Pam back. Roy’s efforts to improve his relationship with Pam are quite successful, but once Pam and Roy are back together, he falls back into old habits almost immediately. When Roy and Pam attend an after-work get-together at a local bar with their co-workers, Pam, feeling that she should be more honest with Roy, tells him about Jim kissing her at «Casino Night.» Roy yells, smashes a mirror, and trashes the bar. Pam, frightened and embarrassed by his reaction, breaks up with Roy immediately. Roy vows to kill Jim and in «The Negotiation», Roy unsuccessfully tries to attack Jim at work (Jim is saved by Dwight’s intervention), and is subsequently fired. Pam later reluctantly agrees to meet Roy for coffee at his request, and after the polite but brief meeting, it appears that their relationship has ended amicably with Roy encouraging Pam to pursue Jim.

Season 7

In «Goodbye, Michael», Pam almost misses saying good-bye to Michael, as she spends most of the day out of the office trying to price shredders. Jim figures out Michael’s plan to leave early and tells her by text. Pam reaches the airport in time and is the last person to see Michael before he leaves.

Предварительные требования

О факультативном экзамене LPI-302

Как и многие другие программы, программа сертификации Linux Professional Institute (LPIC) предусматривает различные уровни сертификации, где для получения каждого последующего уровня необходимо обладать более глубокими знаниями и практическим опытом. Экзамен LPI-302 – это факультативный экзамен третьего уровня программы LPIC, требующий продвинутых знаний в области системного администрирования Linux.

Для получения сертификата LPIC третьего уровня (LPIC-3) необходимо успешно сдать два экзамена первого уровня (101 и 102), два экзамена второго уровня (201 и 202), а также базовый экзамен 301 третьего уровня (LPIC-3). Если вы получили сертификат третьего уровня, вы можете сдавать факультативные экзамены по определенным специализациям, например, экзамен LPI-302.

Чтобы извлечь наибольшую пользу из наших статей, необходимо обладать продвинутыми знаниями о Linux и иметь работоспособный компьютер с Linux, на котором можно будет выполнять все встречающиеся команды. В частности, предполагается, что читатель умеет работать с командной строкой Linux и имеет общее представление о Samba (см. предыдущую статью Изучаем Linux, 302: основные принципы), а также основы ее настройки, включая настройку Samba на использование контроллера домена. Вы должны знать общую структуру конфигурационного файла smb.conf и иметь представление о работе серверов, включая использование сценариев запуска System V (SysV) и супер-серверов. Для выполнения примеров этой статьи необходимо иметь доступ к домену Windows (можно работать в домене как под управлением Samba, так и под управлением операционной системы Windows Server).

Описание и назначение

Контроль привилегированных пользователей, или Privileged Account Management (PAM) – это группа решений, предназначенных для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций, занимающихся администрированием инфраструктуры компании, управления аутентификацией и авторизацией указанных сотрудников, аудита выполняемых действий, контроля доступа и записи их сессий. Помимо аббревиатуры PAM для обозначения систем контроля привилегированных пользователей, встречаются другие наименования данного класса решений, например, Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS).

Решения, позволяющие контролировать действия учетных записей сотрудников, имеющих расширенные права, относятся к группе систем управления учетными данными (IdM/IAM-системы). Требования по мониторингу действий, выполняемых от имени учетных записей с повышенными привилегиями, возникли в связи с потребностью многих организаций передавать некоторые задачи администрирования и обслуживания инфраструктуры в руки сторонних организаций. Передача критичных ресурсов на IT-аутсорсинг подразумевает под собой серьезные риски. PAM-системы подразумевают под собой наличие следующих функций:

• Централизованное управление учетными записями с расширенными возможностями;
• Аудит действий привилегированных сотрудников;
• Управление настройками парольной защиты;
• Контроль доступа сотрудников к административным ресурсам;
• Управление процессом аутентификации и авторизации;
• Запись сессии, запущенной из-под учетной записи из списка привилегированных.

В зависимости от выполняемых функций, системы контроля пользователей с расширенными возможностями делятся на четыре категории:

• решения, позволяющие управлять паролями сотрудников и осуществлять контроль доступа к общим учетным записям (SAPM);
• решения, позволяющие управлять сессиями привилегированных пользователей к системам организации используя единую точку входа или Single Sign-On (PSM). При этом они позволяют осуществлять мониторинг, записывать и хранить информацию о действиях пользователей в рамках привилегированной сессии;
• решения, позволяющие анализировать команды, которые использует администратор системы, а также выполнять их фильтрацию (SPM);
• решения, позволяющие производить контроль встроенных или служебных учетных записей, которые используются различными приложениями и сервисами для выполнения собственных функций (AAPM).

Указанные функции позволяют решать такие бизнес-задачи, как увеличение эффективности работы сотрудников с привилегированными учетными записями, сокращение издержек на нелояльный персонал, предотвращение утечек конфиденциальных данных.

По своей архитектуре PAM-системы могут быть выполнены как в виде программных, так и программно-аппаратных решений. Более того, по организации PAM-системы могут быть:

• Локальные, требующие высоких капитальных затрат и операционных расходов.
• Облачные, которые позволяют сокращать затраты за счет отсутствия необходимости организации и поддержки инфраструктуры.
• Гибридные.

Учитывая современные тенденции развития технологий и использования мобильных устройств для работы с конфиденциальной информацией или администрирования систем, решения по контролю привилегированных пользователей не могут стоять на месте и им приходится совершенствоваться день ото дня. При этом возникают такие сложности, как:

• охват всех существующих каналов администрирования систем;
• оперативное распознавание несанкционированных действий сотрудников;
• однозначная идентификация пользователей, совершающих несанкционированные действия;
• накопление доказательной базы поведения привилегированных пользователей.

Заблокировать учётные записи после неудачных попыток

Вам нужно использовать модуль pam_tally , который обеспечивает возможность блокировки учетных записей пользователей после нескольких неудачных попыток входа в систему.

Отредактируем файл :

auth required pam_tally.so onerr=fail deny=3 unlock_time=21600

где:

• deny=3 – количество попыток авторизации.

• unlock_time=21600 – повторная возможность авторизации для данного пользователя будет через 21600 секунд (6 часов) после неудачной попытки. Если эта опция используется пользователь будет заблокирован на определенное время через определенное количество неудачных попыток. Заблокированных пользователей может разблокировать администратор используя команду или .

• onerr=fail – При возникновении ошибки (например невозможность открыть файл), возвращается PAM_SUCESS если установлено , в противном случае получаем PAM error code.

По-умолчанию для учёта попыток авторизации используется файл .

Что такое PAM

Подключаемые модули аутентификации (Pluggable Authentication Modules, PAM) — это набор API, необходимых для реализации механизмов аутентификации в различных приложениях.

До появления PAM, чтобы реализовать аутентификацию, скажем, с помощью ключ-карты, разработчикам приходилось вносить код поддержки этих самых ключ-карт в каждый компонент системы, ответственный за аутентификацию пользователя. То есть дописывать и пересобирать приходилось утилиту login, sshd, а также любой другой софт, в который планировалось добавить подобную функциональность.

С появлением PAM ситуация намного упростилась. Теперь, чтобы добавить в систему свой неповторимый самописный протокол аутентификации, достаточно реализовать его в рамках одного-единственного модуля PAM. А все утилиты и приложения, умеющие работать с PAM, подхватят его и смогут использовать для аутентификации пользователя.

На практике это выглядит примерно так: утилита login обращается к PAM, который выполняет все необходимые проверки с помощью указанных в конфигурационном файле модулей и возвращает результат обратно утилите login. Удобно, не правда ли? Однако такой подход содержит в себе возможности, которые мы можем использовать для закрепления в системе.

Стоит сделать небольшую оговорку. Существует три основные реализации PAM:

• Linux-PAM — основная реализация PAM в любой Linux-системе;
• OpenPAM — используется в BSD-системах и macOS;
• JPam — реализация PAM для Java-приложений.

Заострять внимание на какой-то конкретной реализации мы не будем. Основная функциональность везде одинакова