Autenticazione via token con PAM USB: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

Autenticazione via token con PAM USB (visualizza wikitesto)

Versione delle 14:23, 22 giu 2014

379 byte rimossi ,  22 giu 2014
m
semplificazione di un box + riga mancante in un profilo
m (semplificazione di un box + riga mancante in un profilo)
Riga 105: Riga 105:
Default: yes
Default: yes
Priority: 257
Priority: 257
Auth-Type: Primary
Auth:
Auth:
     required      pam_usb.so</pre>
     required      pam_usb.so</pre>
Riga 146: Riga 147:
Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la '''Alternative mode'''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la '''Additional mode'''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.
Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la '''Alternative mode'''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la '''Additional mode'''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.


{{Box | Sudo | È da notare che con <code>sudo</code> verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità '''Alternative'''.
{{Box | Sudo | È da notare che con <code>sudo</code> verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente che invoca il comando e quindi si userebbe una '''Alternative mode'''. Ma i comandi permessi con il tag ''NOPASSWD:'' saranno eseguibili come sempre senza alcuna forma di autenticazione.}}
 
Si può però cambiare questo comportamento, sempre che si sia abilitato <code>sudo</code>, aggiungendo ''targetpw'' ai ''Defaults'' per mezzo di <code>visudo</code>, in modo che venga richiesta la password dell'amministratore anziché quella dell'utente. Al solito la cosa ha senso solo se a loro corrisponde la stessa persona fisica, altrimenti è meglio dirigersi verso la modalità '''Additional'''.
 
Infine i comandi permessi con il tag ''NOPASSWD:'' saranno eseguibili come sempre senza alcuna forma di autenticazione.}}


== Salvare la configurazione ==
== Salvare la configurazione ==
HAL 9000
3 581

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/34906"

Menu di navigazione