PAM

PAM — Pluggable Authentication Modules, подключаемые модули аутентификации — можно разделить на 2 логические части: подсистему аутентификации и модули PAM. Подсистема PAM позволяет приложениям запрашивать аутентификацию, разбирает конфигурационные файлы и обращается к модулям аутентификации. Модули PAM представляют собой библиотеки, в которых прописаны обработчики операций, которые может направлять к ним подсистема PAM. Пример: стандартный модуль pam_unix умеет следующее:

  • запросить пароль у пользователя,
  • сверить введенный пароль со значением, хранящимся в системе,
  • проверить удовлетворяет ли пароль требованиям безопасности, и не истек ли он.
Общая схема работы Pluggable Authentication Modules

Общая схема работы PAM.

Упрощенно схема аутентификации в приложении, использующем PAM, выглядит следующим образом:

  • приложение инициализирует библиотеку PAM (libpam.so),
  • PAM в соответствии с конфигурационным файлом для приложения обращается к требуемым модулям,
  • модули выполняют возложенные на них действия,
  • приложению возвращается результат операции.

PAM позволяет проводить не только аутентификацию. Функции PAM классифицируются по типу модулей (в скобках указаны обозначения модулей в конфигурационных файлах):

  • аутентификация (auth),
  • управление учетными записями (account),
  • управление сеансами (session),
  • управление паролями (passwd).

Схема работы модуля аутентификации для PAM pam_p11

Данный модуль позволяет осуществить двухфакторную аутентификацию пользователей по смарт-картам или USB-токенам с использованием асимметричной криптографии. Рассмотрим общую схему его работы:

  • на токене хранится сертификат пользователя и его закрытый ключ,
  • сертификат также сохранен в домашнем каталоге пользователя как доверенный.

Аутентификация происходит следующим образом:

  • На токене выполняется поиск сертификата пользователя.
  • Через PAM производится запрос PIN-кода к токену.
  • Если аутентификация на токене прошла успешно, то производится подпись случайных данных с помощью закрытого ключа, хранящегося на токене. При этом сама подпись выполняется аппаратно.
  • Полученная электронная подпись проверяется с помощью сертификата пользователя.
  • Если в итоге проверка подписи осуществлена успешно, то модуль сообщает о пройденной аутентификации.

Дополнительную информацию по теме можно получить из статьи Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S, опубликованной на Habrahabr.ru.

Клиенты и партнеры

  • Анкад
  • Минздрав России
  • КРИПТО-ПРО
  • СКБ Контур
  • ЦентрИнформ
  • НУЦ
  • Код Безопасности
  • Код Безопасности
  • Сигнал КОМ
  • ИнфотекС
  • Альфа Директ
  • Электронная Москва
  • Digital Design
  • Тензор
  • Депо
  • Связной
  • Банк Нордеа
  • БелИнфоНалог
  • Татарстан

Карта сайта