8.10. 使​​​用​​​ PAM 认​​​证​​​

因​​​为​​​安​​​全​​​的​​​评​​​估​​​已​​​经​​​变​​​得​​​非​​​常​​​复​​​杂​​​，管​​​理​​​员​​​必​​​须​​​使​​​用​​​工​​​具​​​来​​​简​​​化​​​这​​​个​​​任​​​务​​​。​​​因​​​此​​​，RHN Satellite 支​​​持​​​通​​​过​​​ PAM（Pluggable Authentication Modules，可​​​插​​​拔​​​验​​​证​​​模​​​式​​​）的​​​基​​​于​​​网​​​络​​​的​​​认​​​证​​​系​​​统​​​。​​​PAM 是​​​一​​​组​​​帮​​​助​​​系​​​统​​​管​​​理​​​员​​​将​​​ Satellite 和​​​中​​​央​​​认​​​证​​​机​​​制​​​集​​​成​​​在​​​一​​​起​​​的​​​程​​​序​​​库​​​，因​​​此​​​不​​​需​​​要​​​记​​​住​​​多​​​个​​​密​​​码​​​。​​​

RHN Satellite 通​​​过​​​使​​​用​​​ PAM 支​​​持​​​ LDAP、​​​Kerberos 和​​​其​​​它​​​基​​​于​​​网​​​络​​​的​​​验​​​证​​​系​​​统​​​。​​​要​​​允​​​许​​​ Satellite 使​​​用​​​ PAM 和​​​您​​​的​​​机​​​构​​​的​​​验​​​证​​​系​​​统​​​，请​​​依​​​照​​​以​​​下​​​步​​​骤​​​。​​​

设​​​置​​​一​​​个​​​ PAM 服​​​务​​​文​​​件​​​（通​​​常​​​是​​​ /etc/pam.d/rhn-satellite）并​​​将​​​以​​​下​​​行​​​加​​​入​​​到​​​ /etc/rhn/rhn.conf 中​​​使​​​ Satellite 可​​​以​​​使​​​用​​​它​​​：

pam_auth_service = rhn-satellite

pam_auth_service = rhn-satellite

这​​​里​​​假​​​设​​​ PAM 服​​​务​​​文​​​件​​​的​​​文​​​件​​​名​​​为​​​ rhn-satellite。​​​

要​​​允​​​许​​​ PAM 验​​​证​​​一​​​个​​​特​​​定​​​的​​​用​​​户​​​，选​​​择​​​「​​​可​​​插​​​入​​​验​​​证​​​模​​​块​​​ (PAM)」​​​。​​​它​​​位​​​于​​​「​​​创​​​建​​​用​​​户​​​」​​​页​​​中​​​的​​​密​​​码​​​和​​​密​​​码​​​确​​​认​​​字​​​段​​​下​​​。​​​

例​​​如​​​，要​​​使​​​用​​​ Kerberos 对​​​ Red Hat Enterprise Linux 5 i386 系​​​统​​​进​​​行​​​验​​​证​​​，请​​​在​​​ /etc/pam.d/rhn-satellite 中​​​添​​​加​​​以​​​下​​​内​​​容​​​：

#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check

#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check

请​​​注​​​意​​​，在​​​ RHN 网​​​站​​​中​​​修​​​改​​​密​​​码​​​只​​​会​​​修​​​改​​​ RHN Satellite 的​​​本​​​地​​​密​​​码​​​。​​​如​​​果​​​配​​​置​​​用​​​户​​​使​​​用​​​ PAM 验​​​证​​​，则​​​根​​​本​​​不​​​会​​​使​​​用​​​该​​​密​​​码​​​。​​​在​​​上​​​面​​​的​​​例​​​子​​​中​​​，不​​​会​​​更​​​改​​​ Kerberos 密​​​码​​​。​​​