Un módulo de autenticación conectable ( PAM ) es un mecanismo para integrar múltiples esquemas de autenticación de bajo nivel en una interfaz de programación de aplicaciones (API) de alto nivel . PAM permite que los programas que dependen de la autenticación se escriban independientemente del esquema de autenticación subyacente. Fue propuesto por primera vez por Sun Microsystems en una solicitud de comentarios (RFC) 86.0 de Open Software Foundation con fecha de octubre de 1995. Fue adoptado como el marco de autenticación del Common Desktop Environment . Como infraestructura de código abierto independiente , PAM apareció por primera vez en Red Hat Linux3.0.4 en agosto de 1996 en el proyecto Linux PAM . Actualmente, PAM es compatible con el sistema operativo AIX , DragonFly BSD , [1] FreeBSD , HP-UX , Linux , macOS , NetBSD y Solaris .
Dado que no existe un estándar central de comportamiento PAM, hubo un intento posterior de estandarizar PAM como parte del proceso de estandarización X / Open UNIX, lo que resultó en el estándar X / Open Single Sign-on ( XSSO ). Este estándar no fue ratificado, pero el borrador del estándar ha servido como punto de referencia para implementaciones posteriores de PAM (por ejemplo, OpenPAM ).
Criticas
Dado que la mayoría de las implementaciones de PAM no interactúan con los clientes remotos, PAM, por sí solo, no puede implementar Kerberos , el tipo más común de SSO utilizado en entornos Unix. Esto llevó a la incorporación de SSO como la parte de "autenticación primaria" del estándar XSSO y al advenimiento de tecnologías como SPNEGO y SASL . Esta falta de funcionalidad es también la razón por la que SSH realiza su propia negociación de mecanismo de autenticación.
En la mayoría de las implementaciones de PAM, pam_krb5 solo obtiene los tickets de concesión de tickets , lo que implica solicitar al usuario las credenciales, y esto solo se utiliza para el inicio de sesión inicial en un entorno SSO. Para obtener un ticket de servicio para una aplicación en particular, y no pedirle al usuario que ingrese las credenciales nuevamente, esa aplicación debe estar codificada específicamente para admitir Kerberos. Esto se debe a que pam_krb5 por sí mismo no puede obtener tickets de servicio, aunque hay versiones de PAM-KRB5 que están intentando solucionar el problema. [2]
Ver también
Referencias
enlaces externos
- El RFC de PAM original
- Control de contraseña y PAM en Wayback Machine (archivado el 19 de agosto de 2013)
- Módulos de autenticación conectables para Linux
- Aprovechar al máximo los módulos de autenticación conectables (PAM)
- Administración de Oracle Solaris: Servicios de seguridad: uso de PAM
- X / Open Single Sign-on (XSSO) 1997 Borrador del documento de trabajo