tail head cat sleep
QR code linking to this page

manページ  — PAM_SSH

名称

pam_ssh – SSH 秘密鍵による認証およびセッションの管理

内容

書式

[service-name] module-type control-flag pam_ssh [options]

解説

pam_ssh は PAM 用 SSH 認証サービスモジュールであり、 認証とセッション管理の PAM の 2 つのカテゴリへの機能を提供します。 module-type パラメータ中では "auth" "session" と表現されます。

SSH 認証モジュール

SSH 認証コンポーネントは、ユーザの本人確認の関数 (pam_sm_authenticate()) を提供します。 関数は、ユーザに対しパスフレーズを要求し、 それを使って該当ユーザの SSH キーが解読できるかを確かめます。

この認証モジュールでは、次に示すオプションが利用できます。
use_first_pass
  この認証モジュールがスタック中で先頭にはないときに、 これよりも前のモジュールが、 ユーザのパスワードを入手している場合には、 そのパスワードをユーザの認証に利用します。 もし認証に失敗すると、この認証モジュールは パスワードの要求をせずに、失敗を返します。 この認証モジュールがスタック中で先頭にある場合、 もしくは、これより前のモジュールがユーザのパスワードを 入手しなかった場合には、このオプションは無効になります。
try_first_pass
  このオプションは use_first_pass オプションに似ていますが、 前のモジュールで得たパスワードが失敗した場合は ユーザに他のパスワードを要求します。

SSH セッション管理モジュール

SSH セッション管理コンポーネントは セッションの開始 (pam_sm_open_session()) と終了 (pam_sm_close_session()) の関数を提供します。 pam_sm_open_session() 関数は SSH エージェントを開始させ、 認証過程で解読された秘密鍵をエージェントに渡します。 そして、エージェントが示した環境変数をセットします。 pam_sm_close_session() 関数は前に開始された SSH エージェントに SIGTERM を送って終了させます。

このセッション管理モジュールでは、次に示すオプションが使用できます。
want_agent
  認証フェーズにおいてキーがまったく解読されなくても、エージェントを開始します。

関連ファイル

$HOME/.ssh/identity
  SSH1 RSA 鍵
$HOME/.ssh/id_rsa SSH2 RSA 鍵
$HOME/.ssh/id_dsa SSH2 DSA 鍵

関連項目

ssh-agent(1), pam.conf(5) [英語], pam(8)

作者

pam_ssh モジュールは元々 Andrew J. Korty <ajk@iu.edu> によって書かれました。 現在の FreeBSD Project 用の実装は ThinkSec AS および Network Associates, Inc. の Security Research 部門である NAI Labs によって、 DARPA/SPAWAR contract N66001-01-C-8035 ("CBOSS") 契約に基づき DARPA CHATS research program の一環として開発されました。 このマニュアルページは Mark R V Murray <markm@FreeBSD.org> によって書かれました。

PAM_SSH (8) November 26, 2001

tail head cat sleep
QR code linking to this page


このマニュアルページサービスについてのご意見は Ben Bullock にお知らせください。 Privacy policy.

The wonderful thing about standards is that there are so many of them to choose from.
— Grace Murray Hopper