Document toolboxDocument toolbox

Linux

Om Linux accounts te onboarden in PAM moet de Linux server eerst voldoen aan enkele configuraties.

Vereiste Linux settings en aanpassingen

Voordat Linux systemen onboard worden in PAM, zijn er nog verificatie en mogelijk ook wijzingen nodig aan de Linux policy.

Linux parameters

Parameter

Beschrijving

Voorbeeld

Parameter

Beschrijving

Voorbeeld

Address

Fully Qualified Domain Name (FQDN) van de Linux server.

servernaam.vlaanderen.be

Username

Naam van het Linux account.

root

Comments

Optionele beschrijving.

 

Password Policy

Volgende password policy moet toegepast worden op de Linux server:

Wachtwoordvereisten

Waarde

Wachtwoordvereisten

Waarde

Password inactive

never

Account expires

never

Minimum number of days between password change

0

Maximum number of days between password change

90

Number of days of warning before password expires

7

Empty password

No

Minimum length

32

Minimum number of digits

3

Minimum number of lowercase

3

Minimum number of uppercase

3

Minimum Special Characters

3

Exclude characters

#

Minimum number of characters difference with previous password

3

Password Authentication SSH

PAM meldt zich aan op de Linux server via SSH, het maakt hierbij gebruik van username en password. Hiervoor moet er in /etc/ssh/sshd_config nagekeken worden of er ergens "PasswordAuthentication yes" staat vermeld, zo niet kan je dit toevoegen onderaan de file. Vervolgens moet de ssh service opnieuw gestart worden. Dit kan je doen met het commando "service sshd restart".

Sudoer settings

In de locatie /etc/sudoers.d, moeten de PAM sudoers files toegevoegd worden met als doel:

  • Het PAM reconciliation account de juiste rechten te geven, het moet het recht hebben om wachtwoorden te veranderen met het command nopasswd.

  • Het PAM support team heeft het recht om aanpassing uit te voeren op het break glass account.

  • De standaard accounts die geassocieerd worden met root of een andere account, moet de juiste rechten hebben om nopasswd te gebruiken

Opmerking: Fouten in de sudoers file kan ervoor zorgen dat er problemen zijn met aanmelden op de server.