Provided by: manpages-de_4.26.0-1_all bug

BEZEICHNUNG
       PAM, pam - Zusammensteckbare Authentifizierungsmodule für Linux


BESCHREIBUNG
       Dieses Handbuch ist dazu gedacht, eine schnelle Einführung in Linux-PAM bereitzustellen. Für weitere
       Informationen wird der Leser auf das Linux-PAM system administrators' guide (Linux-Pam-Anleitung für
       Systemadministratoren) hingewiesen.

       Linux-PAM ist ein System von Bibliotheken, die die Authentifizierungsaufgaben von Anwendungen (Diensten)
       des Systems handhaben. Die Bibliothek stellt eine stabile allgemeine Schnittstelle
       (Anwendungsprogrammierschnittstelle - API) bereit, an die Privilegien-vergebende Programme (wie login(1)
       und su(1)) verweisen, um normale Authentifizierungsaufgaben durchzuführen.

       Die Hauptfunktionalität des PAM-Ansatzes besteht darin, dass die Art der Authentifizierung dynamisch
       konfigurierbar ist. Mit anderen Worten, der Systemadministraor kann frei entscheiden, wie einzelne
       Dienste-bereitstellende Anwendungen die Benutzer authentifizieren. Diese dynamische Konfiguration wird
       durch die Inhalte einer einzelnen Konfigurationsdatei /etc/pam.conf bereitgestellt. Alternativ und
       bevorzugt kann die Konfiguration durch einzelne, in einem Verzeichnis /etc/pam.d/ befindliche Dateien,
       erfolgen. Die Existenz dieses Verzeichnisses führt dazu, dass Linux-PAM /etc/pam.conf ignoriert.

       Lieferanten-bereitgestellte PAM-Konfigurationsdateien können im Systemverzeichnis /usr/lib/pam.d/ oder
       einem konfigurierbaren Lieferanten-spezifischen Verzeichnis anstelle des
       Maschinenkonfigurationsverzeichnisses /etc/pam.d/ installiert sein. Falls keine
       Maschinenkonfigurationsdatei gefunden wird, wird die vom Lieferanten bereitgestellte Datei verwandt. Alle
       Dateien in /etc/pam.d/ setzen Dateien mit dem gleichen Namen in anderen Verzeichnissen außer Kraft.

       Aus Sicht des Systemadministrators, für den dieses Handbuch bereitgestellt wird, steht das interne
       Verhalten der Bibliothek Linux-PAM nicht im Fokus. Am wichtigsten ist es zu erkennen, dass die
       Konfigurationsdatei(en) die Verbindung zwischen Anwendungen (Diensten) und den zusammensteckbaren
       Authentifizierungsmodulen (PAMs), die die eigentlichen Authentifizierungsaufgaben erledigen, definieren.

       Linux-PAM trennt die Aufgaben der Authentifizierung in vier unabhängige Verwaltungsgruppen:
       Kontenverwaltung (account), Authentifizierungsverwaltung (auth, Passwortverwaltung (password) und
       Sitzungsverwaltung (session). Die in der Konfigurationsdatei verwandten Abkürzungen sind in Klammern
       hervorgehoben.

       In einfachen Worten – Diese Gruppen kümmern sich um verschiedene Aspekte einer typischen Benutzeranfrage
       für einen beschränkten Dienst:

       account - Bereitstellung von Diensten der Art der Kontenprüfung: Ist das Passwort des Benutzers
       abgelaufen? Darf der Benutzer auf den angefragten Dienst zugreifen?

       auth - Authentifizierung eines Benutzers und Einrichtung seiner Benutzerzugangsberechtigungen.
       Typischerweise erfolgt dies über eine Art von Challenge-Response-Anfrage (Aufforderung-Antwort-Anfrage),
       die der Benutzer erfüllen muss: Ob Sie derjenige sind, der Sie zu sein behaupten, dann geben Sie bitte
       Ihr Passwort ein. Nicht alle Authentifizierungstypen sind von dieser Art, es existieren Hardware-basierte
       Authentifizierungsschemata (unter der Verwendung von Smartcards und biometrischen Geräten). Mit
       geeigneten Modulen können diese nahtlos als Ersatz für stärker standardisierte Ansätze der
       Authentifizierung ersetzt werden - dies ist die Flexibilität von Linux-PAM.

       password - Diese Gruppe verantwortet die Aktualisierung der Authentifizierungsmechanismen. Typischerweise
       hängen diese Dienste eng mit denen der Gruppe auth zusammen. Einige Authentifizierungsmechanismen können
       natürlicherweise gut mit einer solchen Funktion aktualisiert werden. Der normale passwortbasierte Zugriff
       in UN*X ist das offensichtliche Beispiel: Bitte geben Sie ein neues Passwort ein.

       session - Diese Gruppe übernimmt die Aufgabe, Dinge zu erledigen, die vor der Freigabe eines Dienstes und
       nachdem dieser zurückgezogen wurde, erledigt werden sollten. Zu diesen Aufgaben gehören die
       Auditnachweise und das Einhängen des Home-Verzeichnisses des Benutzers. Die Verwaltungsgruppe session ist
       wichtig, da sie sowohl einen eröffnenden als auch einen schließenden Einsprungpunkt für Module
       bereitstellt, die den Dienst für den Benutzer beeinflussen.


DATEIEN
       /etc/pam.conf
           die Konfigurationsdatei

       /etc/pam.d
           das Konfigurationsverzeichnis von Linux-PAM Grundsätzlich gilt, dass die Datei /etc/pam.conf
           ignoriert wird, wenn dieses Verzeichnis vorhanden ist.

       /usr/lib/pam.d
           das Lieferantenkonfigurationsverzeichnis von Linux-PAM. Dateien in /etc/pam.d setzen die Dateien mit
           dem gleichen Namen in diesem Verzeichnis außer Kraft.


FEHLER
       Normalerweise werden vom Linux-PAM-Bibliothekssystem erstellte Fehler in syslog(3) geschrieben.


KONFORM ZU
       DCE-RFC 86.0, Oktober 1995. Enthält zusätzliche Funktionalitäten, bleibt aber rückwärtskompatibel zu
       diesem RFC.


SIEHE AUCH
       pam(3), pam_authenticate(3), pam_sm_setcred(3), pam_strerror(3), PAM(8)


ÜBERSETZUNG
       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
       bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer.

Linux-PAM                                       11. Februar 2025                                          PAM(7)