web-dev-qa-db-ja.com

PAMアカウントインターフェイスと/ etc / shadow

公式のRedHadによると documentation on pam for account interface:

アカウント—このモジュールインターフェイスは、アクセスが許可されていることを確認します。たとえば、ユーザーアカウントの有効期限が切れているかどうか、またはユーザーが特定の時刻にログインを許可されているかどうかを確認します。

ただし、(アカウントの有効性に関する)同様の情報が/etc/shadowファイルに組み込まれています。 tldppages で言及されているように、最後のフィールドには次のものが含まれます。

パスワードの有効期限が切れてからアカウントが無効になる日数

1970年1月1日からアカウントが無効にされた日数

将来使用できるように予約されたフィールド

では、アカウントの有効性を確認するときに、アプリケーション(PAM対応のアプリケーションであっても)はいつ存在しますか?

/etc/pam.d/applicationのルールが/etc/shadowと矛盾する可能性がある場合はどうなりますか?

1
pkaramol

通常/ etc/{group、passwd、shadow}は直接使用されるのではなく、pamを介して使用されます。 pamは、/ etc/{group、passwd、shadow} thingsやLDAPなどのさまざまなバックエンドを使用してユーザー情報をクエリするように構成できる一種のコネクタと考えることができます。

pamをこのように機能させるために、各バックエンドには、バックエンドにクエリを実行して情報を取得できるpamモジュールがあります。
pamの非常に基本的な構成は、pam_unix.soファイルから情報を取得する/etc/{group,passwd,shadow}モジュールを使用することです。

the pam_unix.soin man pam_unixの機能の詳細も読むことができます。

2
Thomas