de modules que l’on peut
connecter au sous-système de sécurité
d’un serveur. Les modules acceptent
ou rejettent un utilisateur qui demande
authentification. Ainsi, si vous
voulez utiliser une carte SecurID avec
Linux, le fournisseur vous donnera un
module PAM qui supporte le matériel SecurID. Notre solution particulière
utilise le module pam_smb de Dave
Airlie.

Le système PAM ne sait pas du tout
comment l’utilisateur est authentifié et
d’ailleurs il s’en moque. Il se préoccupe
seulement de savoir si le module
accepte ou rejette les références de
l’utilisateur. Cet agencement crée une
couche d’authentification puissante,
détachée de la technologie, dans l’OS.
Et, au fur et à  mesure que les fournisseurs
présentent de nouvelles solutions,
il est facile d’introduire de nouveaux
produits PAM dans un système
existant, sans être obligé de le corriger
ou de le modifier.

Comme je l’ai dit, cette solution
s’appuie sur pam_smb, un module
PAM qui utilise LANMAN (LanManager)
pour authentifier les utilisateurs. Pour
l’essentiel, pam_smb authentifie les
utilisateurs de la même manière
qu’une machine Windows 98 les authentifie
par rapport à  un serveur
Windows : il envoie une information
cryptée sur le réseau à  un DC (domain
controller) qui stocke l’information
utilisateur. Le DC décide ensuite si les
références de l’utilisateur sont correctes.
A moins de désactiver manuellement
la fonction dans le registre,
pam_smb utilise LANMAN crypté.
(L’utilisation de LANMAN soulève
quelques questions en raison de sa vulnérabilité
aux attaques sur des réseaux
partagés. Pour plus d’informations sur
une solution similaire qui ne compte
pas sur LANMAN, voir l’encadré « La solution
Samba ».)

Les modules PAM ne vous obligent
pas à  apporter des modifications délicates
à  votre système Linux. Il vous suffit
de compiler, d’installer et de configurer
pam_smb et PAM pour
permettre les logons de domaines.