使用 PAM 进行身份验证

SUSE Manager 支持使用可插入身份验证模块 (PAM) 的基于网络的身份验证系统。PAM 是一个库套件,可用于将 SUSE Manager 与集中式身份验证机制集成,从而无需记住多个口令。SUSE Manager 支持 LDAP、Kerberos 和其他使用 PAM 的基于网络的身份验证系统。

在用户名中,除了字母数字字符外,还允许使用 -_.@

过程:启用 PAM
  1. /etc/pam.d/susemanager 中创建一个 PAM 服务文件。文件名必须采用小写,并且可以由 tomcat 用户读取。SUSE Manager 使用此文件来加载正确的 PAM 配置文件:

    #%PAM-1.0
    auth     include        common-auth
    account  include        common-account
    password include        common-password
    session  include        common-session
    Listing 1.  在 SUSE Manager Server 上的命令提示符下,以 root 身份添加 sss PAM 模块:
    pam-config -a --sss

    此命令将模块添加到 /etc/pam.d/common-auth 配置文件。我们不建议直接编辑此文件。

  2. 通过将下面一行内容添加到 /etc/rhn/rhn.conf 来强制使用服务文件:

    pam_auth_service = susemanager

    在此示例中,PAM 服务文件名为 susemanager

  3. 更改配置后重启动 SUSE Manager 服务。

  4. 在 SUSE Manager Web UI 中,导航到用户  创建用户,并允许新用户或现有用户使用 PAM 进行身份验证。

  5. 选中可插入身份验证模块 (PAM) 复选框。该复选框位于口令和口令确认字段下方。

在 SUSE Manager Web UI 中更改口令只会更改 SUSE Manager Server 上的本地口令。如果为该用户启用 PAM,则可能根本不会使用本地口令。例如,在上面的示例中,Kerberos 口令并未更改。使用网络服务的口令更改机制来更改这些用户的口令。

要配置系统范围的身份验证,可以使用 YaST。需要安装 yast2-auth-client 软件包。

有关配置 PAM 的详细信息,请参见《SUSE Linux Enterprise Server 安全指南》,其中提供了一个通用示例,该示例同样适用于其他基于网络的身份验证方法。其中还介绍了如何配置 Active Directory 服务。有关详细信息,请参见 https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.html