使用 PAM 进行身份验证

SUSE Manager 支持使用可插入身份验证模块 (PAM) 的基于网络的身份验证系统。PAM 是一个库套件，可用于将 SUSE Manager 与集中式身份验证机制集成，从而无需记住多个口令。SUSE Manager 支持 LDAP、Kerberos 和其他使用 PAM 的基于网络的身份验证系统。

过程：启用 PAM

在 /etc/pam.d/susemanager 中创建一个 PAM 服务文件。文件名必须采用小写，并且可以由 tomcat 用户读取。SUSE Manager 使用此文件来装载正确的 PAM 配置文件：
```
#%PAM-1.0
auth     include        common-auth
account  include        common-account
password include        common-password
session  include        common-session
```
Listing 1. 在 SUSE Manager Server 上的命令提示符下，以 root 身份添加 sss PAM 模块：
```
pam-config -a --sss
```
此命令将模块添加到 /etc/pam.d/common-auth 配置文件。我们不建议直接编辑此文件。
通过将下面一行内容添加到 /etc/rhn/rhn.conf 来强制使用服务文件：
```
pam_auth_service = susemanager
```
在此示例中，PAM 服务文件名为 susemanager。
更改配置后重启动 SUSE Manager 服务。
在 SUSE Manager Web UI 中，导航到用户 创建用户，并允许新用户或现有用户使用 PAM 进行身份验证。
选中可插入身份验证模块 (PAM) 复选框。该复选框位于口令和口令确认字段下方。

在 SUSE Manager Web UI 中更改口令只会更改 SUSE Manager Server 上的本地口令。如果为该用户启用 PAM，则可能根本不会使用本地口令。例如，在上面的示例中，Kerberos 口令并未更改。使用网络服务的口令更改机制来更改这些用户的口令。

要配置系统范围的身份验证，可以使用 YaST。需要安装 yast2-auth-client 软件包。

有关配置 PAM 的详细信息，请参见《SUSE Linux Enterprise Server 安全指南》，其中提供了一个通用示例，该示例同样适用于其他基于网络的身份验证方法。其中还介绍了如何配置 Active Directory 服务。有关详细信息，请参见 https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.html。