名称

pam_exec — 実行 (exec) PAM モジュール

書式

[ service-name] module-type control-flag pam_exec [ arguments]

解説

PAM のための exec サービスモジュールは、コマンド行の引数を引数のままで残して、オプションが指定されないなら、最初の引数で指定されたプログラムを実行します。オプションが指定されるなら、プログラムとその引数は、最後のオプションに続くか、またはプログラム名がオプション名と衝突するなら、 -- に続きます。

次のオプションは、プログラムとその引数の前に渡されます:

return_prog_exit_status

pam_sm_* 関数の返りコードとしてプログラムの終了ステータスを使用します。それは、この関数のための有効な返り値でなければなりません。

--

オプション解析を停止します。プログラムとその引数が続きます。

子供 (プロセス) の環境は、 pam_getenvlist(3) によって返されるように、現在の PAM 環境リストに設定されます。さらに、次の PAM アイテムは、環境変数としてエクスポートされます: PAM_RHOST, PAM_RUSER, PAM_SERVICE, PAM_SM_FUNC, PAM_TTY と PAM_USER です。

PAM_SM_FUNC 変数は、呼び出されている PAM サービスモジュール関数の名前を含んでいます。次の通りであるかもしれません:

• pam_sm_acct_mgmt
• pam_sm_authenticate
• pam_sm_chauthtok
• pam_sm_close_session
• pam_sm_open_session
• pam_sm_setcred

return_prog_exit_status が設定されないなら (デフォルト)、 PAM_SM_FUNC 関数は、 PAM_SUCCESS を返し、そうでなければ、プログラムの終了ステータスが 0 であるなら、 PAM_PERM_DENIED を返します。

return_prog_exit_status が設定されるなら、プログラムの終了ステータスが使用されます。それは、 PAM_SUCCESS または、 PAM_SM_FUNC 関数を呼び出すことによって、許可されたエラーコードの 1 つであるべきです。有効なコードは、各関数のマニュアルページに文書化されています。終了ステータスが有効な返りコードでないなら、 PAM_SERVICE_ERR が返されます。各有効なコードの数値は、環境変数 (例えば、 PAM_SUCESS, PAM_USER_UNKNOWN, など) として利用可能です。これは、例えばシェルスクリプトで役に立ちます。

関連項目

pam_get_item(3), pam.conf(5), pam(8), pam_sm_acct_mgmt(8), pam_sm_authenticate(8), pam_sm_chauthtok(8), pam_sm_close_session(8), pam_sm_open_session(8), pam_sm_setcred(8)

作者

pam_exec モジュールとこのマニュアルページは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で ThinkSec AS と NAI Labs, the Security Research Division of Network Associates, Inc. によって FreeBSD プロジェクトのために開発されました。