Guide@Debianizzati.Org

Autenticazione via token con PAM USB: differenze tra le versioni

Pagina Discussione

Autenticazione via token con PAM USB (visualizza wikitesto)

Versione delle 16:56, 22 nov 2011

204 byte aggiunti ,  22 nov 2011
m
→‎semplificazione Custom mode
Nessun oggetto della modifica
Riga 117: Riga 117:
Auth-Type: Primary
Auth-Type: Primary
Auth:
Auth:
     [success=2 default=ignore]  pam_succeed_if.so   uid > 0
     [success=1 default=ignore]  pam_succeed_if.so uid > 0
    required      pam_usb.so
     [success=1 default=bad  pam_usb.so
     [success=1 default=ignorepam_succeed_if.so   uid = 0
     sufficient    pam_usb.so</pre>
     sufficient    pam_usb.so</pre>


''pam_succeed_if.so'' è un modulo che ha successo unicamente se la condizione è soddisfatta, e chiaramente uid è uguale a zero soltanto per l'utente root, mentre è maggiore per tutti gli altri. In caso di fallimento del modulo non succede niente (''default=ignore''), ma se la condizione è soddisfatta vengono saltate un certo numero di righe (''success=N'').
''pam_succeed_if.so'' è un modulo che ha successo unicamente se la condizione è soddisfatta, e chiaramente uid è uguale a zero soltanto per l'utente root, mentre è maggiore per tutti gli altri. In caso di fallimento del modulo non succede niente (''default=ignore''), ma se la condizione è soddisfatta vengono saltate un certo numero di righe (''success=N'').


Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà due righe (''success=2''), eseguendo l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode'', e dato che soddisfa la condizione della terza (''uid = 0'') salterà l'ultima.
Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.


{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.
{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.
HAL 9000
3 581

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/26977"