kal*_*iko 5 security authentication pam configuration centos
我正在配置一个 CentOS7 主机(通过 ansible)运行authconfig. 现在我需要pam_exec在设置中添加/配置模块,但它似乎不受authconfig(参见man authconfig和/etc/sysconfig/authconfig)支持。
恐怕(如某些 /etc/pam.d/*conf 标头中所述)随后的 authconfig 调用将覆盖我的更改。
如何将特定的 pam 配置集成到 RedHatauthconfig框架?
authconfig只会更改/etc/pam.d/*-ac文件中的 PAM 配置。这些文件不直接包含在单个服务的配置中,而是通过符号链接。例如,/etc/pam.d/system-auth-ac默认情况下链接为/etc/pam.d/system-auth,并且include文件中的行/etc/pam.d/sshd或/etc/pam.d/login将始终使用名称system-auth,从不system-auth-ac。
man authconfig说如果符号链接被修改,authconfig不会重新链接它们。所以这是一个系统管理员可以注入他们自己的设置的地方。
您有两个选择:
pam_exec在适当的include行之前或之后,将您的添加到各个服务的 PAM 配置文件中。如果您只想pam_exec申请特定服务,这是推荐的选项。(pam_exec当用户运行chfn更新他们自己的姓名/办公室/电话号码信息时,您真的需要运行吗?)
或者include用一个实际文件替换适当的链接,该文件包含您的pam_exec和include引用相应*-ac文件的行。
例如,如果您希望pam_exec与所有使用 的服务一起运行password-auth,您可以将/etc/pam.d/password-auth符号链接(指向password-auth-ac被 修改的authconfig)替换为如下文件:
auth include password-auth-ac
account include password-auth-ac
password include password-auth-ac
session include password-auth-ac
session required pam_exec.so <your parameters>
... 假设您希望您pam_exec的会话阶段结束。如果您想将其置于不同的阶段,请根据您的需要进行编辑。