Como fazer alterações na configuração do pam de tal forma que a execução posterior do authconfig não irá sobrescrevê-las?

1

Estou configurando um host do CentOS7 (através do ansible) executando authconfig . Agora preciso adicionar / configurar pam_exec module na configuração, mas parece que não é suportado por authconfig (cf. man authconfig e /etc/sysconfig/authconfig ).

Eu tenho medo (como mencionado em alguns cabeçalhos /etc/pam.d/*conf) subsequente chamada authconfig irá sobrescrever minhas alterações.

Como faço para integrar uma configuração específica de pam ao RedHat authconfig framework?

    
por kaliko 05.06.2018 / 10:58

1 resposta

1

authconfig somente alterará a configuração do PAM nos arquivos /etc/pam.d/*-ac . Esses arquivos não são incluídos diretamente na configuração de serviços individuais, mas através de um link simbólico. Por exemplo, /etc/pam.d/system-auth-ac é, por padrão, vinculado como /etc/pam.d/system-auth e as linhas include em arquivos como /etc/pam.d/sshd ou /etc/pam.d/login sempre usarão o nome system-auth , nunca system-auth-ac .

man authconfig diz que, se os links simbólicos forem modificados, authconfig não os vinculará novamente. Então este é um lugar onde os administradores de sistemas podem injetar suas próprias configurações.

Você tem duas opções:

  • Adicione seu pam_exec aos arquivos de configuração do PAM dos serviços individuais, antes ou depois das linhas include apropriadas. Essa é a opção recomendada se você quiser que seu pam_exec se aplique somente a serviços específicos. (Você realmente precisa que seu pam_exec seja executado quando um usuário executa chfn para atualizar as informações de seu próprio nome / escritório / número de telefone?)

  • Ou substitua o link include apropriado por um arquivo real que tenha as linhas pam_exec e include referentes ao arquivo *-ac correspondente.

Por exemplo, se você quiser que o pam_exec seja executado com todos os serviços que usam password-auth , poderá substituir o link simbólico /etc/pam.d/password-auth (que aponta para password-auth-ac que é modificado por authconfig ) com um arquivo assim:

auth include password-auth-ac
account include password-auth-ac
password include password-auth-ac
session include password-auth-ac
session required pam_exec.so <your parameters>

... supondo que você queira o seu pam_exec no final da fase de sessão. Se você quiser colocá-lo em uma fase diferente, edite para atender às suas necessidades.

    
por 08.06.2018 / 13:28