5. Les modules PAM de FreeBSD

5.1. pam_deny(8)

Le module pam_deny(8) est l'un des modules disponibles les plus simples; il répond à n'importe qu'elle requête par PAM_AUTH_ERR. Il est utile pour désactiver rapidement un service (ajoutez-le au début de chaque chaîne), ou pour terminer les chaînes de modules sufficient.

5.2. pam_echo(8)

Le module pam_echo(8) passe simplement ses arguments à la fonction de conversation comme un message PAM_TEXT_INFO. Il est principalement utilisé pour le debogage mais il peut aussi servir à afficher un message tel que “Les accès illégaux seront poursuivits” avant de commencer la procédure d'authentification.

5.3. pam_exec(8)

Le module pam_exec(8) prend comme premier argument le nom du programme à exécuter, les arguments restant étant utilisés comme arguments pour ce programme. L'une des applications possibles est d'utiliser un programme qui monte le répertoire de l'utilisateur lors du login.

5.4. pam_ftp(8)

Le module pam_ftp(8)

5.5. pam_ftpusers(8)

Le module pam_ftpusers(8)

5.6. pam_group(8)

Le module pam_group(8) accepte ou rejette le demandeur à partir de son appartenance à un groupe particulier (généralement wheel pour su(1)). Il a pour but premier de conserver le comportement traditionnel de su(1) mais possède d'autres applications comme par exemple exclure un certain groupe d'utilisateurs d'un service particulier.

5.7. pam_krb5(8)

Le module pam_krb5(8)

5.8. pam_ksu(8)

Le module pam_ksu(8)

5.9. pam_lastlog(8)

Le module pam_lastlog(8)

5.10. pam_login_access(8)

Le module pam_login_access(8)

5.11. pam_nologin(8)

Le module pam_nologin(8)

5.12. pam_opie(8)

Le module pam_opie(8) implémente la méthode d'authentification opie(4). Le système opie(4) est un mécanisme de challenge-response où la réponse à chaque challenge est une fonction directe du challenge et une phrase de passe, ainsi la réponse peut facilement être calculée “en temps voulu” par n'importe qui possédant la phrase de passe ce qui élimine le besoin d'une liste de mots de passe. De plus, puisque opie(4) ne réutilise jamais un mot de passe qui a reçu une réponse correcte, il n'est pas vulnérable aux attaques basée sur le rejouage.

5.13. pam_opieaccess(8)

Le module pam_opieaccess(8) est un compagnon du module pam_opie(8). Son but est de renforcer les restrictions codifiées dans opieaccess(5), il régule les conditions sous lesquelles un utilisateur qui normalement devrait s'authentifier par opie(4) est amené à utiliser d'autres méthodes. Ceci est généralement utilisé pour interdire l'authentification par mot de passe depuis des hôtes non digne de confiance.

Pour être réellement effectif, le module pam_opieaccess(8) doit être listé comme requisite immédiatement après une entrée sufficient pour pam_opie(8) et avant tout autre module, dans la chaîne auth.

5.14. pam_passwdqc(8)

Le module pam_passwdqc(8)

5.15. pam_permit(8)

Le module pam_permit(8) est l'un des modules disponibles les plus simples; il répond à n'importe quelle requête par PAM_SUCCESS. Il est utile pour les services où une ou plusieurs chaînes auraient autrement été vides.

5.16. pam_radius(8)

Le module pam_radius(8)

5.17. pam_rhosts(8)

Le module pam_rhosts(8)

5.18. pam_rootok(8)

Le module pam_rootok(8) retourne un succès si et seulement si l'identifiant d'utilisateur réel du processus appelant est 0. Ceci est utile pour les services non basés sur le réseau tel que su(1) ou passwd(1) où l'utilisateur root doit avoir un accès automatique.

5.19. pam_securetty(8)

Le module pam_securetty(8)

5.20. pam_self(8)

Le module pam_self(8) retourne un succès si et seulement si le nom du demandeur correspond au nom du compte désiré. Il est utile pour les services non basés sur le réseau tel que su(1) où l'identité du demandeur peut être vérifiée facilement .

5.21. pam_ssh(8)

Le module pam_ssh(8)

5.22. pam_tacplus(8)

Le module pam_tacplus(8)

5.23. pam_unix(8)

Le module pam_unix(8) implémente l'authentification Unix traditionnelle par mot de passe, il utilise getpwnam(3) pour obtenir le mot de passe du compte visé et le compare avec celui fournit par le demandeur. Il fournit aussi des services de gestion de compte (désactivation du compte et date d'expiration) ainsi que des services pour le changement de mot de passe. Il s'agit certainement du module le plus utile car la plupart des administrateurs désirent garder le comportement historique pour quelques services.