Linux

Om Linux accounts te onboarden in PAM moet de Linux server eerst voldoen aan enkele configuraties.

Vereiste Linux settings en aanpassingen

Voordat Linux systemen onboard worden in PAM, zijn er nog verificatie en mogelijk ook wijzingen nodig aan de Linux policy.

Linux parameters

Parameter	Beschrijving	Voorbeeld

Parameter	Beschrijving	Voorbeeld
Address	Fully Qualified Domain Name (FQDN) van de Linux server.	servernaam.vlaanderen.be
Username	Naam van het Linux account.	root
Comments	Optionele beschrijving.

Password Policy

Volgende password policy moet toegepast worden op de Linux server:

Wachtwoordvereisten	Waarde

Wachtwoordvereisten	Waarde
Password inactive	never
Account expires	never
Minimum number of days between password change	0
Maximum number of days between password change	90
Number of days of warning before password expires	7
Empty password	No
Minimum length	8
Minimum number of digits	1
Minimum number of lowercase	1
No same subsequent characters	2
Minimum number of characters difference with previous password	3

Password Authentication SSH

PAM meldt zich aan op de Linux server via SSH, het maakt hierbij gebruik van username en password. Hiervoor moet er in /etc/ssh/sshd_config nagekeken worden of er ergens "PasswordAuthentication yes" staat vermeld, zo niet kan je dit toevoegen onderaan de file. Vervolgens moet de ssh service opnieuw gestart worden. Dit kan je doen met het commando "service sshd restart".

Sudoer settings

In de locatie /etc/sudoers.d, moeten de PAM sudoers files toegevoegd worden met als doel:

Het PAM reconciliation account de juiste rechten te geven, het moet het recht hebben om wachtwoorden te veranderen met het command nopasswd.
Het PAM support team heeft het recht om aanpassing uit te voeren op het break glass account.
De standaard accounts die geassocieerd worden met root of een andere account, moet de juiste rechten hebben om nopasswd te gebruiken

Opmerking: Fouten in de sudoers file kan ervoor zorgen dat er problemen zijn met aanmelden op de server.