Подключаемый модуль аутентификации

Подключаемый модуль аутентификации ( PAM ) — это механизм интеграции нескольких схем аутентификации (API) высокого уровня низкого уровня в интерфейс прикладного программирования . PAM позволяет писать программы, использующие аутентификацию, независимо от базовой схемы аутентификации. Впервые он был предложен компанией Sun Microsystems в Фонда открытого программного обеспечения запросе на комментарии (RFC) 86.0 от октября 1995 года. Он был принят в качестве структуры аутентификации Common Desktop Environment . Как автономная инфраструктура с открытым исходным кодом , PAM впервые появился в Red Hat Linux 3.0.4 в августе 1996 года в проекте Linux PAM . PAM в настоящее время поддерживается в операционных системах AIX , DragonFly BSD , ^[1] FreeBSD , HP-UX , Linux , macOS , NetBSD и Solaris .

Поскольку центрального стандарта поведения PAM не существует, позже была предпринята попытка стандартизировать PAM как часть процесса стандартизации X/Open UNIX, в результате чего появился стандарт X/Open Single Sign-on ( XSSO ). Этот стандарт не был ратифицирован, но проект стандарта послужил ориентиром для более поздних реализаций PAM (например, OpenPAM ).

Критика

Поскольку большинство реализаций PAM сами по себе не взаимодействуют с удаленными клиентами, PAM сам по себе не может реализовать Kerberos , наиболее распространенный тип единого входа, используемый в средах Unix. Это привело к включению SSO в качестве «первичной аутентификации» в будущий стандарт XSSO и появлению таких технологий, как SPNEGO и SASL . Отсутствие функциональности также является причиной того, что SSH согласовывает собственный механизм аутентификации.

В большинстве реализаций PAM pam_krb5 извлекает только Ticket Granting Tickets , что включает в себя запрос у пользователя учетных данных, и это используется только для первоначального входа в систему в среде SSO. Чтобы получить билет службы для конкретного приложения и не запрашивать у пользователя повторный ввод учетных данных, это приложение должно быть специально закодировано для поддержки Kerberos. Это связано с тем, что pam_krb5 сам не может получить билеты службы, хотя существуют версии PAM-KRB5, которые пытаются обойти эту проблему. ^[2]

См. также

Реализации:
Управление идентификацией – общая тема
Переключатель службы имен — управляет базами данных пользователей.
System Security Services Daemon – реализация единого входа на основе PAM и NSS.

Ссылки

Внешние ссылки

Технические характеристики:

Путеводители:

Эта статья о программном обеспечении безопасности незавершена . Вы можете помочь Википедии, расширив ее .

[1] Страница руководства PAM по DragonFly BSD

[2] PAM-KRB5

[1]

[2]

v т и Аутентификация
Аутентификация API	Аутентификация BSD (BSD Auth) Электронная аутентификация (eAuth) Общий API служб безопасности (GSSAPI) Служба аутентификации и авторизации Java (JAAS) Подключаемые модули аутентификации (PAM) Простой уровень аутентификации и безопасности (SASL) Интерфейс поставщика поддержки безопасности (SSPI) API универсальной базы данных XCert (XUDA)
Аутентификация протоколы	АКФ2 Соглашение об аутентификации и ключах (AKA) Аутентификация на основе CAVE Протокол аутентификации с вызовом и рукопожатием (CHAP) MS-CHAP Центральная служба аутентификации (CAS) CRAM-MD5 Диаметр Расширяемый протокол аутентификации (EAP) Протокол идентификации хоста (HIP) ИндиАут Керберос Менеджер локальной сети NT-менеджер локальной сети (NTLM) OAuth OpenID OpenID Connect (OIDC) соглашения о ключах с аутентификацией паролем Протоколы Протокол аутентификации пароля (PAP) Защищенный расширяемый протокол аутентификации (PEAP) Служба удаленного доступа с коммутируемым доступом (RADIUS) Средство контроля доступа к ресурсам (RACF) Протокол безопасного удаленного пароля (SRP) ТАКАКС Ву-Лам
Категория Коммонс