Este artículo necesita citas adicionales para su verificación . ( mayo de 2011 ) |
Un módulo de autenticación conectable ( PAM ) es un mecanismo para integrar múltiples esquemas de autenticación de bajo nivel en una interfaz de programación de aplicaciones (API) de alto nivel. PAM permite que los programas que dependen de la autenticación se escriban independientemente del esquema de autenticación subyacente. Fue propuesto por primera vez por Sun Microsystems en una Solicitud de comentarios (RFC) 86.0 de la Open Software Foundation con fecha de octubre de 1995. Fue adoptado como el marco de autenticación del Common Desktop Environment . Como infraestructura de código abierto independiente , PAM apareció por primera vez en Red Hat Linux 3.0.4 en agosto de 1996 en el proyecto Linux PAM . PAM actualmente es compatible con el sistema operativo AIX , DragonFly BSD , [1] FreeBSD , HP-UX , Linux , macOS , NetBSD y Solaris .
Dado que no existe un estándar central de comportamiento de PAM, hubo un intento posterior de estandarizar PAM como parte del proceso de estandarización de X/Open UNIX, lo que dio como resultado el estándar X/Open Single Sign-on ( XSSO ). Este estándar no fue ratificado, pero el borrador del estándar sirvió como punto de referencia para implementaciones posteriores de PAM (por ejemplo, OpenPAM ).
Dado que la mayoría de las implementaciones de PAM no interactúan con los clientes remotos, PAM, por sí solo, no puede implementar Kerberos , el tipo más común de SSO utilizado en entornos Unix. Esto llevó a la incorporación de SSO como la parte de "autenticación primaria" del estándar XSSO en potencia y al surgimiento de tecnologías como SPNEGO y SASL . Esta falta de funcionalidad es también la razón por la que SSH realiza su propia negociación de mecanismos de autenticación.
En la mayoría de las implementaciones de PAM, pam_krb5 solo obtiene tickets de concesión de tickets , lo que implica solicitarle al usuario las credenciales, y esto solo se utiliza para el inicio de sesión inicial en un entorno SSO. Para obtener un ticket de servicio para una aplicación en particular y no solicitarle al usuario que ingrese las credenciales nuevamente, esa aplicación debe estar codificada específicamente para admitir Kerberos. Esto se debe a que pam_krb5 no puede obtener tickets de servicio por sí mismo, aunque existen versiones de PAM-KRB5 que intentan solucionar el problema. [2]
Presupuesto:
Guías: