Éclaircissement sur "UsePAM" dans SSHD_CONFIG

Support Debian
#1

Je traduis les lignes suivantes, mais je n’en comprends pas la teneur.
Il s’agit de la ligne “UsePAM”

[quote] Set this to ‘yes’ to enable PAM authentication, account processing, and session processing. If this is enabled, PAM authentication will be allowed through the ChallengeResponseAuthentication and PasswordAuthentication.
Depending on your PAM configuration, PAM authentication via ChallengeResponseAuthentication may bypass the setting of “PermitRootLogin without-password”.
If you just want the PAM account and session checks to run without PAM authentication, then enable this but set PasswordAuthentication and ChallengeResponseAuthentication to ‘no’.[/quote]
Autrement dit, comment faut-il gérer les commandes suivantes (YES ; NO ; commenté :question: ):

UsePAM
ChallengeResponseAuthentication
PasswordAuthentication

Sachant que je ne veux pas laisser la possibilité de se loguer en tant que ‘root’, donc : “PermitRootLogin” à "no"
et que je voudrais pouvoir me servir des authentifications par “clefs”, pour certains ET par “MDP”, pour d’autres.

Merci.

#2

UsePAM yes
ChallengeResponseAuthentication no
PasswordAuthentication yes

PAM ne sera pas désactivé: UsePAM yes
Outre clé/mot de passe, tu n’imposes pas une barrière PAM supplémentaire : ChallengeResponseAuthentication no.
Tu souhaites que certains utilisateurs se connectent au moyen de login/mot de passe : PasswordAuthentification yes

#3

Merci de ton conseil, je vais faire ainsi.
Je n’ai jamais bien compris le rôle de PAM :017

#4

Trémousser son silicone sur la plage, en maillot de bain rouge ? :119

/me n’est déjà plus là :mrgreen:

#5

Le rouge lui va si bien, PAM est sous debian.

Sous debian PAM est à l’œuvre dans les mécanismes de connexion/authentification grâce à libpam, depuis debian 2.2 à en croire cette référence,
kernel.org/pub/linux/libs/pam/FAQ

PAM ou pas PAM en ssh
Si tu ne retouches pas PAM en adjoignant un “challenge”, confier l’authentification ssh à PAM reviendra au même que le confier au login par mot de passe.
PAM vérifiera la paire login/mot de passe définie par /etc/passwd, comme en connexion courante (pam_unix)
debian.org/doc/manuals/debia … entication

PAM entre également en jeu dans passwd.
$ man -L fr passwd

       passwd utilise PAM pour authentifier les utilisateurs et modifier leur mot de passe.

FICHIERS
       /etc/passwd
           Informations sur les comptes des utilisateurs.

       /etc/shadow
           Informations sécurisées sur les comptes utilisateurs.

       /etc/pam.d/passwd
           Configuration de PAM pour passwd.
#6

Merci de cette explication complète etxeberrizahar :023