La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Modules d'authentification enfichables (P.A.M.)

Publié parClarisse Philippe Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Modules d'authentification enfichables (P.A.M.)"— Transcription de la présentation:

1 Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM) est un mécanisme permettant d'intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau, permettant de ce fait de rendre indépendants du schéma les logiciels réclamant une authentification. PAM est une création de Sun Microsystems et est supporté en 2006 sur les architectures Solaris, Linux, FreeBSD, NetBSD, AIX et HP-UX.

2 Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) L'administrateur système peut alors définir une stratégie d'authentification sans devoir recompiler des programmes d'authentification. PAM permet de contrôler la manière dont les modules sont enfichés dans les programmes en modifiant un fichier de configuration. Les programmes qui donnent aux utilisateurs un accès à des privilèges doivent être capables de les authentifier. Lorsque vous vous connectez sur le système, vous indiquez votre nom et votre mot de passe. Le processus de connexion vérifie que vous êtes bien la personne que vous prétendez être. Il existe d'autres formes d'authentification que l'utilisation des mots de passe, qui peuvent d'ailleurs êtres stockés sous différentes formes.

3 Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) Moyens modulables d'authentifier les utilisateurs Ensemble de bibliothèques auxquelles font appel les applications (su, login, ...) Configuration effectuée grâce aux fichiers de configuration de /etc/pam.d ou /etc/pam.conf Séparation des tâches d'authentification en quatre groupes de gestion auth: utilisé pour authentifier l'utilisateur account: utilisé pour vérifier si l'accès est autorisé (heure de connexion, expiration du mot de passe) password: utilisé pour définir les mots de passe session: tout ce qui concerne l'ouverture d'une session avant et après

4 Sécurité des Systèmes Informatique
Master 1 ère année Sécurité des Systèmes Informatique Quelques modules PAM pam_cracklib pas de mot de passe du dictionnaire pam_env spécification de variables d'environnement (/etc/security/pam_env.conf) pam_unix module de base pam_pwdb idem pam_time gestion heure par heure (/etc/security/time.conf) pam_wheel limitation du su au groupe wheel pam_nologin désactivation des comptes en cas de présence du fichier /etc/nologin pam_securetty vérification des consoles d'accès root pam_ldap utilisation d'un annuaire ldap pour l'authentification

5 Le répertoire /etc/pam.d
Master 1 ère année Sécurité des Systèmes Informatique Le répertoire /etc/pam.d -rw-r--r root root aoû chfn -rw-r--r root root aoû chsh -rw-r--r root root sep cups -rw-r--r root root sep halt -rw-r--r root root aoû kbdrate -rw-r--r root root sep kde3 -rw-r--r root root sep kppp -rw-r--r root root sep kscreensaver3 -rw-r--r root root aoû login -rw-r--r root root sep net_monitor -rw-r--r root root sep other -rw-r--r root root jui passwd -rw-r--r root root sep pmsuspend2 -rw-r--r root root sep poweroff -rw-r--r root root aoû ppp -rw-r--r root root sep reboot -rw-r--r root root sep secure-mcserv -rw-r--r root root sep simple_root_authen -rw-r--r root root aoû su -rw-r--r root root jui sudo -rw-r--r root root mar system-auth -rw-r--r root root sep xdm -rw-r--r root root sep xserver

6 Les fichiers de configuration PAM
Master 1 ère année Sécurité des Systèmes Informatique Les fichiers de configuration PAM 4 champs séparés par des blancs type utilisé pour spécifier à quel groupe de gestion correspondent les règles control comportement de l'API en cas d'échec chemin accès au module PAM paramètres liste de valeurs modifiant le comportement de l'API

7 Comportement de l'API PAM: le champ control
Master 1 ère année Sécurité des Systèmes Informatique Comportement de l'API PAM: le champ control required doit être vérifié avec succès. L'utilisateur ne sera averti qu'à la fin de la vérification des modules du même type requisite doit être vérifié avec succès. L'utilisateur sera averti immédiatement de l'échec du premier module de ce type ou de type required Sufficient ignoré en cas d'échec. Si aucun module required précédent n'a échoué et que l'authentification est réussie alors aucun autre module required ne sera testé Optional uniquement s'il n'y a pas d'autre module ou si l'authentification n'a pu être ni validée ni réfutée.

8 Sécurité des Systèmes Informatique
Master 1 ère année Sécurité des Systèmes Informatique Empilement de module L'ordre a une grande importance Différentes conditions peuvent être requises L'exemple du rlogin: Y a-t-il un fichier /etc/nologin ? Connexion root distante ? Variables d'environnement spécifiques. Authentification rhosts réussie ? Demande d'authentification standard. auth required /lib/security/pam_nologin.so auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_stack.so service=system-auth

9 Un exemple de configuration
Master 1 ère année Sécurité des Systèmes Informatique Un exemple de configuration #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_unix.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 password required /lib/security/pam_unix.so shadow nullok use_authtok session required /lib/security/pam_unix.so Vérification du terminal de connexion (pour root) Vérification standard (mot de passe vide autorisé) Vérification du nologin Activation de la vérification de compte (mot de passe périmé, ...) Si le mot de passe doit être changé alors on utilise le module password de pam_unix_so La session sera logée dans syslog (début et fin)

Télécharger ppt "Modules d'authentification enfichables (P.A.M.)"

Présentations similaires

Sécurité informatique

Sécurité informatique
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.

Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
GESTION D’IMPRISSION SOUS WINDOWS & LINUX

GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Master Professionnelle Sciences et Techniques 2 juillet 2007 1.

Master Professionnelle Sciences et Techniques 2 juillet
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Protocole PPP* *Point-to-Point Protocol.

Protocole PPP* *Point-to-Point Protocol.
Module 10 : Gestion et analyse de l'accès réseau

Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Module 3 : Gestion et analyse du service DHCP

Module 3 : Gestion et analyse du service DHCP
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS

Module 6 : Gestion et analyse du système DNS
Module 7 : Résolution de noms NetBIOS à l'aide du service WINS

Module 7 : Résolution de noms NetBIOS à l'aide du service WINS
Vue d'ensemble Création de comptes d'utilisateurs

Vue d'ensemble Création de comptes d'utilisateurs
Module 9 : Configuration de l'accès réseau

Module 9 : Configuration de l'accès réseau
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.

Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service)
Plan de formation Chapitre 1 : Présentation de SAP

Plan de formation Chapitre 1 : Présentation de SAP
Sécurité Informatique

Sécurité Informatique
ManageEngine ADSelfService Plus

ManageEngine ADSelfService Plus

Présentations similaires

Annonces Google