LINUX.ORG.RU
ФорумAdmin

Непонятное в SSH

 ,


0

2

Здравствуйте

Ниже комментарий к опции UsePAM из sshd.conf. Объясните, пожалуйста, чем отличаются «authentication, account processing, and session processing». А так-же чем отличаются «PAM authentication, ChallengeResponseAuthentication, and PasswordAuthentication». Для меня они на одно лицо. Комментарий взорвал мозг

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of «PermitRootLogin without-password».
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
★★★★★

Последнее исправление: makoven (всего исправлений: 1)

чем отличаются authentication, account processing, and session processing

man pam. Если вкратце и на примере, то проверка того, что пользователь makoven существует и ввел верный пароль — это authentication, проверка того, что пароль не устарел — это account processing, а, скажем, создание домашнего каталога пользователя makoven, если его нет — это session processing. Пример далеко не полный, но идею иллюстрирует.

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.

Если включить UsePAM, то sshd будет использовать PAM для аутентификации, задаваемой опциями ChallengeResponseAuthentication и PasswordAuthentication, если нет — то не будет. Ответ на вопрос «а как sshd умеет аутентифицировать юзеров без PAM» даст man sshd_config.

dexpl ★★★★★
()
Последнее исправление: dexpl (всего исправлений: 1)
Ответ на: комментарий от makoven

Насколько я знаю, нет: ChallengeResponseAuthentication можно настроить так, что введенный юзером текст будет сравниваться не с паролем от соответствующей системной учетной записи, а с чем-то другим. Только не спрашивай, с чего я это взял и как можно настроить ChallengeResponseAuthentication — прочел не помню где и не помню когда, никогда не использовал.

dexpl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin