pam_seos 是 CA ControlMinder 用于高级帐户管理功能的可插入身份验证模块 (PAM)。 CA ControlMinder 在任何登录程序的登录过程中都调用 pam_seos。 该模块是可以动态加载以根据需要提供所需功能的共享对象。
可以配置 pam_seos 以执行下列三个操作:
帐户管理组件检测所有失败的登录尝试,并将其记录到审核文件和特殊失败登录文件中。 该模块检测 UNIX 失败,不包括 CA ControlMinder 拒绝访问的情况。
CA ControlMinder 将失败的登录尝试写入特殊文件。 serevu 实用程序读取该文件,并使用其中的信息确定是否应该吊销以及何时吊销用户访问权限。
当 CA ControlMinder 拒绝登录时,它通常不在登录会话期间显示拒绝原因。 如果设置了 pam_seos 模块的调试模式,则 CA ControlMinder 会提供有关拒绝登录原因的简短说明。 例如,“宽限登录”意味着用户已没有剩余登录次数。
密码管理组件调用 segrace 实用程序,该实用程序检查用户的密码是否到期和宽限登录的次数。 如果用户的密码到期,且用户已没有剩余的宽限登录次数,则 segrace 调用 sepass 实用程序以允许该用户更改密码。
注意:只有当需要更改密码时,CA ControlMinder 才调用 segrace。
注意:要从 SSH 获取失败的登录事件,必须将您正在使用的 SSH 版本进行编译和配置以支持 PAM。 如果您的 SSH 版本不使用 PAM,则 CA ControlMinder 无法检测用户是否违反了失败登录规则。
安装程序将相关行添加到 pam.conf 配置文件中,并将旧的配置文件存储为 /etc/pam.conf.bak。
对 pam_seos 模块的配置是通过 seos.ini 文件执行的。 根据所需的功能,设置 [pam_seos] 部分的下列标记:
要使用“密码过期和宽限登录”检查,请设置 seos.ini 文件中的下列标记:
call_segrace = Yes
要使用“登录调试模式”,请设置 seos.ini 文件中的下列标记:
debug_mode_for_user = Yes
要让 serevu 使用 pam_seos 登录失败检测,请设置 seos.ini 文件中的下列标记:
serevu_use_pam_seos = Yes
|
版权所有 © 2013 CA。
保留所有权利。
|
|