O módulo pam_deny(8) é um dos módulos mais simples disponíveis; responde a qualquer pedido com PAM_AUTH_ERR
. É útil para desabilitar rapidamente um serviço (adicioná-lo ao topo de cada chain) ou para encerrar chains de módulos sufficient
.
O módulo pam_echo(8) simplesmente passa seus argumentos para a função de conversação como uma mensagem PAM_TEXT_INFO
. É principalmente útil para depuração, mas também pode servir para exibir mensagens como “O acesso não autorizado será processado” antes de iniciar o procedimento de autenticação.
O módulo pam_exec(8) leva seu primeiro argumento a ser o nome de um programa a ser executado, e os argumentos restantes são passados para esse programa como argumentos de linha de comando. Uma aplicação possível é usá-lo para executar um programa no momento do login, que monta o diretório pessoal do usuário.
The pam_ftpusers(8) module
O módulo pam_group(8) aceita ou rejeita os requerentes com base em sua participação em um determinado grupo de arquivos (normalmente wheel
para su(1)). Ele é destinado principalmente para manter o comportamento tradicional do su(1) do BSD, mas tem muitos outros usos, como excluir determinados grupos de usuários de um serviço particular.
O módulo pam_guest(8) permite logins convidados usando nomes de login fixos. Vários requerimentos podem ser colocados na senha, mas o comportamento padrão é permitir qualquer senha, desde que o nome de login seja o de uma conta de convidado. O módulo pam_guest(8) pode ser facilmente utilizado para implementar logins FTP anônimos.
O módulo pam_krb5(8)
O módulo pam_ksu(8)
O módulo pam_lastlog(8)
O módulo pam_login_access(8) fornece uma implementação da primitiva de gerenciamento de contas que impõe as restrições de login especificadas na tabela login.access(5).
O módulo pam_nologin(8) recusa logins não-root quando existe um /var/run/nologin
. Este arquivo é normalmente criado por shutdown(8) quando restam menos de cinco minutos até o horário de encerramento programado.
O módulo pam_opie(8) implementa o método de autenticação opie(4). O sistema opie(4) é um mecanismo de desafio-resposta em que a resposta a cada desafio é uma função direta do desafio e uma frase-senha, então a resposta pode ser facilmente computada “just in time” por qualquer pessoa que possua a senha, eliminando a necessidade de listas de senhas. Além disso, como opie(4) nunca reutiliza um desafio que tenha sido respondido corretamente, ele não é vulnerável a ataques de repetição.
O módulo pam_opieaccess(8) é um módulo complementar para pam_opie(8). Sua finalidade é impor as restrições codificadas em opieaccess(5), que regulam as condições sob as quais um usuário que normalmente se autenticaria usando opie(4) tem permissão para usar métodos alternativos. Isso geralmente é usado para proibir o uso de autenticação de senha de hosts não confiáveis.
Para ser eficaz, o módulo pam_opieaccess(8) deve ser listado como requisite
imediatamente após uma entrada sufficient
para pam_opie(8), e antes de qualquer outro módulo, na chain auth
.
O módulo pam_passwdqc(8)
O módulo pam_permit(8) é um dos módulos mais simples disponíveis; responde a qualquer pedido com PAM_SUCCESS
. É útil como um espaço reservado para serviços onde uma ou mais chains estariam vazias.
O módulo pam_radius(8)
O módulo pam_rhosts(8)
O módulo pam_rootok(8) reporta sucesso se e somente se o ID do usuário real do processo que o chama (que é assumido como sendo executado pelo requerente) é 0. Isso é útil para serviços que não estão em rede, como su(1) ou passwd(1), para o qual o root
deve ter acesso automático.
O módulo pam_securetty(8)
O módulo pam_self(8) reporta sucesso se, e somente se, os nomes do requerente coincidem com os da conta de destino. É mais útil para serviços que não estão em rede, como su(1), onde a identidade do requerente pode ser facilmente verificada.
O módulo pam_ssh(8) fornece serviços de autenticação e de sessão. O serviço de autenticação permite que os usuários que tenham chaves secretas SSH protegidas por senha em seu diretório ~/.ssh
se autentiquem digitando sua frase secreta. O serviço de sessão inicia o ssh-agent(1) e o pré-carrega com as chaves que foram descriptografadas na fase de autenticação. Esse recurso é particularmente útil para logins locais, seja em X (usando xdm(1) ou outro gerenciador de login X que reconhece o PAM ) ou no console.
O módulo pam_tacplus(8)
O módulo pam_unix(8) implementa a autenticação de senha UNIX® tradicional, usando getpwnam(3) para obter a senha da conta de destino e compará-la com a fornecida pelo requerente. Ele também fornece serviços de gerenciamento de conta (impondo tempos de expiração de conta e senha) e serviços de alteração de senha. Este é provavelmente o módulo mais útil, já que a grande maioria dos administradores desejará manter um comportamento histórico para pelo menos alguns serviços.
All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/
Questions that are not answered by the
documentation may be
sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.