PAM_SSH(8) | FreeBSD System Manager's Manual | PAM_SSH(8) |
名称
pam_ssh — SSH 秘密キー (鍵) での認証とセッションの管理書式
[ service-name] module-type control-flag pam_ssh [ options]解説
PAM のための SSH 認証サービスモジュール、 pam_ssh は、2 つの PAM カテゴリのための機能を提供しています: 認証とセッション管理です。 module-type パラメータに関して、それらは、“auth
”と“
session
”機能です。
SSH 認証モジュール
SSH 認証構成要素 (component) は、パスフレーズのためにユーザにプロンプトを出し、パスフレーズを使用して、ターゲットユーザの SSH キーを復号化できることを検証することによって、ユーザの識別を検証する関数、 ( pam_sm_authenticate()) を提供しています。次のオプションを認証モジュールに渡すことができます:
- use_first_pass
- 認証モジュールがスタックの最初ではなく、前のモジュールがユーザのパスワードを取得したなら、そのパスワードは、ユーザを認証するために使用されます。これが失敗するなら、認証モジュールは、パスワードのためにユーザにプロンプトを出さずに、失敗を返します。認証モジュールがスタックの最初である、または前のモジュールがユーザのパスワードを取得しなかったなら、このオプションは、効果がありません。
- try_first_pass
- このオプションは、以前に取得したパスワードが失敗するなら、ユーザが別のパスワードをプロンプトを出して入力することを除いて、 use_first_pass オプションに似ています。
- nullok
- 通常、パスフレーズのないキーは、認証の目的のためには無視されます。このオプションが設定されるなら、パスフレーズのないキーは、ユーザが空白のパスワードでログインできるように、織り込み済みとされます。
SSH セッション管理モジュール
SSH セッション管理構成要素は、セッションを開始する ( pam_sm_open_session()) とセッションを終了する ( pam_sm_close_session()) 関数を提供しています。 pam_sm_open_session() 関数は、SSH エージェントを開始し、認証段階 (phase) の間に復号化されたあらゆる秘密キー (鍵) をそれに渡し、エージェントが指定する環境変数を設定します。 pam_sm_close_session() 関数は、以前に開始された SSH エージェントに SIGTERM を送ることによって、それを kill します。次のオプションをセッション管理モジュールに渡すことができます:
- want_agent
- キー (鍵) が認証段階の間に復号化されなかったとしても、エージェントを開始します。
関連ファイル
- $HOME/.ssh/identity
- SSH1 RSA キー (鍵)
- $HOME/.ssh/id_rsa
- SSH2 RSA キー (鍵)
- $HOME/.ssh/id_dsa
- SSH2 DSA キー (鍵)
- $HOME/.ssh/id_ecdsa
- SSH2 ECDSA キー (鍵)
作者
pam_ssh モジュールは、元々 <ajk@iu.edu>によって書かれました。現在の実装は、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で ThinkSec AS と NAI Labs, the Security Research Division of Network Associates, Inc. によって FreeBSD プロジェクトのために開発されました。このマニュアルページは、 <markm@FreeBSD.org>によって書かれました。October 7, 2011 | FreeBSD |