PAM_KSU(8) | FreeBSD System Manager's Manual | PAM_KSU(8) |
名称
pam_ksu — Kerberos 5 SU PAM モジュール書式
[ service-name] module-type control-flag pam_ksu [ options]解説
PAM のための Kerberos 5 SU 認証サービスモジュール、1 つの PAM カテゴリだけのための pam_ksu は: 認証です。 module-type パラメータに関して、これは“auth
”機能です。モジュールは、
su(1) ユーティリティで使用されるように明確に設計されています。
Kerberos 5 SU 認証モジュール
Kerberos 5 SU 認証構成要素はユーザの識別を確かめるための関数 ( pam_sm_authenticate()) を提供し、ユーザがターゲットアカウントの特権を取得するために許可が与えられるかどうかを決定します。ターゲットアカウントが“root”であるなら、認証と承認に使用される Kerberos 5 プリンシパルは現在のユーザ、例えば、“user/root@REAL.M
”の“root”インスタンスになります。そうでなければ、プリンシパルは単に現在のユーザのデフォルトプリンシパル、例えば、“
user@REAL.M
”になります。
必要なら、ユーザにパスワードのプロンプトが出されます。承認は、ターゲットアカウントのホームディレクトリ (例えば、toot のための /root/.k5login) で .k5login ファイルでリストされたそれらで、Kerberos 5 プリンシパルを比較することによって実行されます。
次のオプションは認証モジュールに渡されるかもしれません:
- debug
- LOG_DEBUG レベルで syslog(3) デバッグ情報。
- use_first_pass
- 認証モジュールがスタックの最初でなく、前のモジュールがユーザのパスワードを取得したなら、そのパスワードはユーザを認証するために使用されます。これが失敗するなら、認証モジュールは、ユーザにパスワードのためのプロンプトを出さないで、失敗を返します。このオプションは、認証モジュールがスタックの最初であるか、または前のモジュールがユーザのパスワードを取得できないかったなら、効果がありません。
- try_first_pass
- このオプションは、以前に取得したパスワードが失敗するなら、ユーザが別のパスワードのためのプロンプトが出されることを除いて、 use_first_pass オプションと同様です。
May 15, 2002 | FreeBSD |