manページ  — PAM_SSH

pam_ssh – SSH 秘密鍵による認証およびセッションの管理

書式 解説 SSH 認証モジュール SSH セッション管理モジュール 関連ファイル 関連項目 作者

[service-name] module-type control-flag pam_ssh [options]

pam_ssh は PAM 用 SSH 認証サービスモジュールであり、 認証とセッション管理の PAM の 2 つのカテゴリへの機能を提供します。 module-type パラメータ中では "auth" "session" と表現されます。

SSH 認証コンポーネントは、ユーザの本人確認の関数 (pam_sm_authenticate()) を提供します。 関数は、ユーザに対しパスフレーズを要求し、 それを使って該当ユーザの SSH キーが解読できるかを確かめます。

この認証モジュールでは、次に示すオプションが利用できます。

use_first_pass
	この認証モジュールがスタック中で先頭にはないときに、 これよりも前のモジュールが、 ユーザのパスワードを入手している場合には、 そのパスワードをユーザの認証に利用します。 もし認証に失敗すると、この認証モジュールは パスワードの要求をせずに、失敗を返します。 この認証モジュールがスタック中で先頭にある場合、 もしくは、これより前のモジュールがユーザのパスワードを 入手しなかった場合には、このオプションは無効になります。
try_first_pass
	このオプションは use_first_pass オプションに似ていますが、 前のモジュールで得たパスワードが失敗した場合は ユーザに他のパスワードを要求します。

SSH セッション管理コンポーネントは セッションの開始 (pam_sm_open_session()) と終了 (pam_sm_close_session()) の関数を提供します。 pam_sm_open_session() 関数は SSH エージェントを開始させ、 認証過程で解読された秘密鍵をエージェントに渡します。 そして、エージェントが示した環境変数をセットします。 pam_sm_close_session() 関数は前に開始された SSH エージェントに SIGTERM を送って終了させます。

このセッション管理モジュールでは、次に示すオプションが使用できます。

want_agent
	認証フェーズにおいてキーがまったく解読されなくても、エージェントを開始します。

$HOME/.ssh/identity
	SSH1 RSA 鍵
$HOME/.ssh/id_rsa	SSH2 RSA 鍵
$HOME/.ssh/id_dsa	SSH2 DSA 鍵

pam_ssh モジュールは元々 Andrew J. Korty <ajk@iu.edu> によって書かれました。 現在の FreeBSD Project 用の実装は ThinkSec AS および Network Associates, Inc. の Security Research 部門である NAI Labs によって、 DARPA/SPAWAR contract N66001-01-C-8035 ("CBOSS") 契約に基づき DARPA CHATS research program の一環として開発されました。 このマニュアルページは Mark R V Murray <markm@FreeBSD.org> によって書かれました。