Módulo de autenticación conectable

Mecanismo flexible para autenticar usuarios

Estructura

Un módulo de autenticación conectable ( PAM ) es un mecanismo para integrar múltiples esquemas de autenticación de bajo nivel en una interfaz de programación de aplicaciones (API) de alto nivel. PAM permite que los programas que dependen de la autenticación se escriban independientemente del esquema de autenticación subyacente. Fue propuesto por primera vez por Sun Microsystems en una Solicitud de comentarios (RFC) 86.0 de la Open Software Foundation con fecha de octubre de 1995. Fue adoptado como el marco de autenticación del Common Desktop Environment . Como infraestructura de código abierto independiente , PAM apareció por primera vez en Red Hat Linux 3.0.4 en agosto de 1996 en el proyecto Linux PAM . PAM actualmente es compatible con el sistema operativo AIX , DragonFly BSD , ^[1] FreeBSD , HP-UX , Linux , macOS , NetBSD y Solaris .

Dado que no existe un estándar central de comportamiento de PAM, hubo un intento posterior de estandarizar PAM como parte del proceso de estandarización de X/Open UNIX, lo que dio como resultado el estándar X/Open Single Sign-on ( XSSO ). Este estándar no fue ratificado, pero el borrador del estándar sirvió como punto de referencia para implementaciones posteriores de PAM (por ejemplo, OpenPAM ).

Críticas

Dado que la mayoría de las implementaciones de PAM no interactúan con los clientes remotos, PAM, por sí solo, no puede implementar Kerberos , el tipo más común de SSO utilizado en entornos Unix. Esto llevó a la incorporación de SSO como la parte de "autenticación primaria" del estándar XSSO en potencia y al surgimiento de tecnologías como SPNEGO y SASL . Esta falta de funcionalidad es también la razón por la que SSH realiza su propia negociación de mecanismos de autenticación.

En la mayoría de las implementaciones de PAM, pam_krb5 solo obtiene tickets de concesión de tickets , lo que implica solicitarle al usuario las credenciales, y esto solo se utiliza para el inicio de sesión inicial en un entorno SSO. Para obtener un ticket de servicio para una aplicación en particular y no solicitarle al usuario que ingrese las credenciales nuevamente, esa aplicación debe estar codificada específicamente para admitir Kerberos. Esto se debe a que pam_krb5 no puede obtener tickets de servicio por sí mismo, aunque existen versiones de PAM-KRB5 que intentan solucionar el problema. ^[2]

Véase también

• Implementaciones:
  • Servicio de autenticación y autorización de Java
  • PAM de Linux
  • OpenPAM
• Gestión de identidad : el tema general
• Servicio de nombres Switch : administra bases de datos de usuarios
• Daemon de servicios de seguridad del sistema : implementación de SSO basada en PAM y NSS

Referencias

1. Página del manual PAM de DragonFly BSD
2. PAM-KRB5

Enlaces externos

Presupuesto:

• El RFC original de Solaris PAM
• Documento de trabajo preliminar de 1997 sobre el inicio de sesión único X/Open (XSSO)

Guías:

• Control de contraseñas y PAM en Wayback Machine (archivado el 19 de agosto de 2013)
• Módulos de autenticación conectables para Linux
• Cómo aprovechar al máximo los módulos de autenticación conectables (PAM)
• Administración de Oracle Solaris: Servicios de seguridad: Uso de PAM