pam_ssh(8)

pam_ssh − SSH 秘密鍵による認証およびセッションの管理

[service-name] module-type control-flag pam_ssh [options]

pam_ssh は PAM 用 SSH 認証サービスモジュールであり、認証とセッション管理 の PAM の 2 つのカテゴリへの機能を提供します。 module-type パラメータ中で は ‘‘auth’’ ‘‘session’’ と表現されます。

SSH 認証モジュール

SSH 認証コンポーネントは、ユーザの本人確認の関数 (pam_sm_authenticate()) を提供します。関数は、ユーザに対しパスフレーズを要求し、それを使って該当 ユーザの SSH キーが解読できるかを確かめます。

この認証モジュールでは、次に示すオプションが利用できます。

この認証モジュールがスタック中で先頭にはないときに、これ よりも前のモジュールが、ユーザのパスワードを入手している 場合には、そのパスワードをユーザの認証に利用します。もし 認証に失敗すると、この認証モジュールはパスワードの要求を せずに、失敗を返します。この認証モジュールがスタック中で 先頭にある場合、もしくは、これより前のモジュールがユーザ のパスワードを入手しなかった場合には、このオプションは無 効になります。

try_first_pass
このオプションは use_first_pass オプションに似ています が、前のモジュールで得たパスワードが失敗した場合はユーザ に他のパスワードを要求します。

SSH セッション管理モジュール
SSH セッション管理コンポーネントはセッションの開始 (pam_sm_open_session()) と終了 (pam_sm_close_session()) の関数を提供しま す。 pam_sm_open_session() 関数は SSH エージェントを開始させ、認証過程で 解読された秘密鍵をエージェントに渡します。そして、エージェントが示した環 境変数をセットします。 pam_sm_close_session() 関数は前に開始された SSH エージェントに SIGTERM を送って終了させます。

このセッション管理モジュールでは、次に示すオプションが使用できます。

want_agent
認証フェーズにおいてキーがまったく解読されなくても、エージェ ントを開始します。

関連ファイル

SSH1 RSA 鍵
$HOME/.ssh/id_rsa
SSH2 RSA 鍵
$HOME/.ssh/id_dsa
SSH2 DSA 鍵

関連項目

ssh-agent(1), pam.conf(5), pam(8)

pam_ssh モジュールは元々 Andrew J. Korty ⟨ajk@iu.edu⟩ によって書かれまし た。現在の FreeBSD Project 用の実装は ThinkSec AS および Network Associates, Inc. の Security Research 部門である NAI Labs によって、 DARPA/SPAWAR contract N66001-01-C-8035 (‘‘CBOSS’’) 契約に基づき DARPA CHATS research program の一環として開発されました。このマニュアルページは Mark R V Murray ⟨markm@FreeBSD.org⟩ によって書かれました。

FreeBSD 10.0 November 26, 2001 FreeBSD 10.0