http://www.zago.eti.br/pam.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** sapara mensagens ou tópico ******************************************************************** Página principal deste site (FAQ) http://www.zago.eti.br/menu.html FAQ e indicações de material sobre centralização de login, senhas e controle de acesso. http://www.zago.eti.br/nis.txt http://www.zago.eti.br/ldap.txt http://www.zago.eti.br/senhas.txt http://www.zago.eti.br/gina.txt http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s03.html#seg-pam ******************************************************************** PAM = Pluggable Authentication Module, autenticação modular. Links úteis com material sobre pam Autenticação no Apache pluggable authentication module for Apache http://pam.sourceforge.net/mod_auth_pam/ http://www.suphp.org/Home.html pam_smb http://pamsmb.sourceforge.net/ Sobre Ldap http://www.openldap.org/ pesquise por ldap em: http://tldp.org/ http://tldp.org/HOWTO/LDAP-Implementation-HOWTO/ http://tldp.org/HOWTO/LDAP-HOWTO/ ******************************************************************** De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Para Aline - Conf. do PAM Data: 09 Jul 2002 17:16:54 -0400 Olá Aline... Lembra do access.conf que falei!? Pois é, funciona sim. Não tinha funcionado pq eu editei o arquivo com o mcedit e o arquivo ficou sem marcação de fim de linha. Uma forma que eu ACHO que resolva seu problema (echo de teclado) é a seguinte: vi /etc/security/access.conf E adicione o seguinte (tecle insert ou i) +:ALL:ALL Qdo terminar, salte uma linha e faça a sequência: (tecle) :wq (digite) Vc esta permitindo o login de qualquer usuário de qualquer local. Edite o arquivo /etc/pam.d/login e acrescente: account required /lib/security/pam_access.so Aqui funcionou... tanto para barrar como para dar acesso. Como meu pc de casa não é um servidor eu faço um pouco diferente: -:ALL EXCEPT root betolj:LOCAL - é para proibir + é para permitir O segundo campo equivale ao usuário E o terceiro equivale ao local, como: terminal (vc, tty), dominio (.x.y) e etc (LOCAL, ....) Com isso eu permito apenas que o usuário root e betolj se logar localmente. Qdo eu tirei o usuário betolj, apenas o root conseguia se logar - p betolj acontecia exatamente o q acontecia contigo. No site da conectiva tem uma documentação completa sobre o pam: http://www.revistadolinux.com.br/ed/021/assinantes/seguranca.php3 T mais!! :) -------------------------------------------------------------- GINUX-L: Lista de Discussao Sobre Linux Para se desinscrever, envie e-mail para ecartis@comp.ufla.br com a mensagem "unsubscribe ginux-l" no corpo ou assunto do e-mail -------------------------------------------------------------- ******************************************************************** De: Marcelo Pereira Para: Andreas Hasenack Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) PAM: Como `não' utilizar? Data: 26 Aug 2002 17:32:34 -0300 Olá Andreas, Obrigado pela resposta!! Já resolvi o problema utilizando o BusyBox, que é um pacote com versões `muito' otimizadas (e com menos recursos) das ferramentas básicas de unix, como: login, getty, adduser, passwd, ls, ps, diff, vi, chmod, chown, ..., e tudo isso pelo custo de 200k mais as libs: libc.so.6 e ld-linux.so Obrigado de qualquer forma. []'s Marcelo --- Andreas Hasenack escreveu: > Em Sat, Aug 24, 2002 at 12:06:02PM -0300, Marcelo > Pereira escreveu: > > Qual a configuração que eu deveria colocar > > /etc/pam.conf, ou /etc/pam.d/other para que as > funções > > do pam `não' sejam mais utilizadas? > > Não tem como fazer isso dessa maneira. Se você não > quer usar PAM, não > adianta alterar um arquivo de configuração do PAM. > > > A questão de segurança não é problema. O que eu > > preciso mesmo é queimar o PAM. > > Vai precisar recompilar os programas sem o suporte a > PAM. Todos os > programas do /etc/pam.d/* terão que ser > recompilados. Na verdade, > talvez um ou outro não precise, mas acho difícil. > > Acho que é mais fácil você adotar uma distribuição > que não utiliza > PAM. Acho que o slackware não usa, mas talvez tenha > mudado nas > versões mais recentes. ******************************************************************** De: Jozeph Brasil Para: linux-br@bazar.conectiva.com.br Cc: Thiago Macieira Assunto: Re: (linux-br) SU_WHEEL_ONLY Data: 28 Feb 2003 16:06:36 -0300 Opa Thiago! [jozeph@jozeph jozeph]$ cat /etc/conectiva-release Conectiva Linux 7.0 [jozeph@jozeph jozeph]$ man login.defs SULOG_FILE (string) This parameter specifies a full pathname of a file in which su activity is logged. If this parameter is not specified, the logging is suppressed. Because the su command may be used when attempting to authenticate a password, either this option, or syslog should be used to note su activity. See the SYSLOG_SU_ENAB option for related information. SU_WHEEL_ONLY (boolean) XXX needs to be documented. Viu? :D Estou usando isso aqui no meu PAM para improvisar... auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=operator Abraços, Jozeph @ 28/2, Thiago Macieira: > Jozeph Brasil wrote: > >Opa, > > > >Vixe, que coisa terrível! Falta de segurança... :D > >Alguém sabe me dizer onde baixar os arquivos shadow originais? > >Dentre eles o SU com leitura do login.defs... :D > > Estes são os originais. > > >Engraçado que eles (CONECTIVA) nem ao menos removeram as > >referencias do SU_WHELL_ONLY no man login.defs. > > Meu man não tem essa variável. > > -- Atenciosamente, Jozenóbio Brasil ******************************************************************** De: André Moraes Para: Ricardo Pereira Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) PAM + Windows 2000 Server Data: 22 Apr 2003 21:17:26 -0300 Olá Ricardo, > Estou para implementar um servidor Windows 2000 server ou o 2003 .NET > server junto com SQL Server 2000. Esse servidores gerenciara as contas de > usuarios do dominio. Vou ter 2 servers linux com mail, ftp, webmail, samba e > afins....tem como eu utilizar o PAM p/ que o usuario e senha desses serviços > do linux seja autenticado da maquina windows server?!?!??! Estamos utilizando, na empresa em que trabalho, a autenticação do Samba com Winbind e PAM sem problemas. Alem do PAM, utilizamos a autenticação no Squid e a autorização baseada em grupos do domínio Windows 2000. Dê uma olhada na página do Samba (www.samba.org) e em http://www.collaborium.org/onsite/romania/UTILS/winbind.pdf . Este artigo contém bastante material sobre a configuração do winbind. Espero ter ajudado, ******************************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)PAM no slackware ? Data: Tue, 20 Dec 2005 23:49:33 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 bacteria_ wrote: >andei pesquisando um pouco e cheguei a conclusao de permitir apenas um >login por usuario sera feito apenas atraves do PAM >porem utilizo slackware e gostaria de saber como implementar isso, ou >entao como permitir apenas um login por usuario. Recompile os programas relacionados ao login com suporte a PAM. - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 5. Swa he géanhwearf tó timbran, and hwonne he cóm, lá! Unix cwæð "Hello, World". ?fre ?ghwilc wæs glæd and seo woruld wæs fréo. ******************************************************************** ******************************************************************** ********************************************************************