Interface da conta do PAM vs / etc / shadow

Question

Interface da conta do PAM vs / etc / shadow

#1 resposta do (2 votos)

1

De acordo com a documentação oficial do Red Had em pam para a interface account :

account — This module interface verifies that access is allowed. For example, it checks if a user account has expired or if a user is allowed to log in at a particular time of day.

No entanto, informações semelhantes (na validade da conta) são incorporadas no arquivo /etc/shadow . Como as páginas tldp mencionam, alguns dos últimos campos incluem:

The number of days after password expires that account is disabled

The number of days since January 1, 1970 that an account has been disabled

A reserved field for possible future use

Então, quando é que uma aplicação (mesmo que habilitada pelo PAM) reside na verificação da validade da conta?

O que acontece quando as regras em /etc/pam.d/application podem contradizer /etc/shadow ?

password security pam

por pkaramol 08.09.2018 / 11:16

1 resposta

Tags password security pam

Programar um comando para executar minutos depois [fechado] como passar a variável string como argumento globbing ao comando

score 2 · Accepted Answer

Normalmente, / etc / {group, passwd, shadow} não são usados diretamente, mas sim em pam . Você pode pensar em pam como um tipo de conector que pode ser configurado para usar diferentes back-ends como o / etc / {group, passwd, shadow} ou o LDAP para consultar informações do usuário.

Para fazer com que pam funcione dessa maneira, cada back-end tem um módulo pam que pode consultar o back-end e recuperar informações.
A configuração básica de pam é usar o módulo pam_unix.so , que recupera as informações dos arquivos /etc/{group,passwd,shadow} .

Você também pode ler mais sobre os recursos de the pam_unix.so em man pam_unix .