Подключаемый модуль аутентификации

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален Поиск источников:  «Подключаемый модуль аутентификации»  -  новости  · газеты  · книги  · ученый  · JSTOR ( май 2011 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Подключаемый модуль аутентификации ( PAM ) представляет собой механизм для интеграции несколько низкого уровня аутентификации схемы в высоком уровне интерфейс прикладного программирования (API). PAM позволяет писать программы, использующие аутентификацию, независимо от базовой схемы аутентификации. Впервые он был предложен Sun Microsystems в запросе на комментарии Open Software Foundation (RFC) 86.0 от октября 1995 года. Он был принят в качестве основы аутентификации в Common Desktop Environment . Как автономная инфраструктура с открытым исходным кодом , PAM впервые появился в Red Hat Linux.3.0.4 в августе 1996 года в проекте Linux PAM . В настоящее время PAM поддерживается в операционной системе AIX , DragonFly BSD , ^[1] FreeBSD , HP-UX , Linux , macOS , NetBSD и Solaris .

Поскольку не существует центрального стандарта поведения PAM, позже была предпринята попытка стандартизировать PAM как часть процесса стандартизации X / Open UNIX, что привело к стандарту X / Open Single Sign-on ( XSSO ). Этот стандарт не был ратифицирован, но проект стандарта служил ориентиром для более поздних реализаций PAM (например, OpenPAM ).

Критика [ править ]

Поскольку большинство реализаций PAM сами по себе не взаимодействуют с удаленными клиентами, сам по себе PAM не может реализовать Kerberos , наиболее распространенный тип единого входа, используемый в средах Unix. Это привело к включению SSO в качестве «первичной аутентификации» в будущий стандарт XSSO и появлению таких технологий, как SPNEGO и SASL . Отсутствие функциональности также является причиной того, что SSH выполняет согласование собственного механизма аутентификации.

В большинстве реализаций PAM pam_krb5 выбирает только билеты на выдачу билетов , что включает запрос учетных данных у пользователя, и это используется только для первоначального входа в систему в среде единого входа. Чтобы получить билет службы для определенного приложения и не предлагать пользователю снова ввести учетные данные, это приложение должно быть специально закодировано для поддержки Kerberos. Это связано с тем, что pam_krb5 не может сам получить билеты на обслуживание, хотя существуют версии PAM-KRB5, которые пытаются обойти эту проблему. ^[2]

См. Также [ править ]

• Управление идентификацией
• Служба аутентификации и авторизации Java
• Linux PAM
• Переключатель службы имен
• OpenPAM

Ссылки [ править ]

Внешние ссылки [ править ]

• Оригинальный PAM RFC
• PAM и контроль паролей на Wayback Machine (архивировано 19 августа 2013 г.)
• Подключаемые модули аутентификации для Linux
• Максимальное использование подключаемых модулей аутентификации (PAM)
• Администрирование Oracle Solaris: Службы безопасности: Использование PAM
• X / Open Single Sign-on (XSSO) 1997 Проект рабочего документа