Linux
Om Linux accounts te onboarden in PAM moet de Linux server eerst voldoen aan enkele configuraties.
Vereiste Linux settings en aanpassingen
Voordat Linux systemen onboard worden in PAM, zijn er nog verificatie en mogelijk ook wijzingen nodig aan de Linux policy.
Linux parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
Address | Fully Qualified Domain Name (FQDN) van de Linux server. | |
Username | Naam van het Linux account. | root |
Comments | Optionele beschrijving. | Â |
Password Policy
Volgende password policy moet toegepast worden op de Linux server:
Wachtwoordvereisten | Waarde |
---|---|
Password inactive | never |
Account expires | never |
Minimum number of days between password change | 0 |
Maximum number of days between password change | 90 |
Number of days of warning before password expires | 7 |
Empty password | No |
Minimum length | 32 |
Minimum number of digits | 3 |
Minimum number of lowercase | 3 |
Minimum number of uppercase | 3 |
Minimum Special Characters | 3 |
Exclude characters | # |
Minimum number of characters difference with previous password | 3 |
Password Authentication SSH
PAM meldt zich aan op de Linux server via SSH, het maakt hierbij gebruik van username en password. Hiervoor moet er in /etc/ssh/sshd_config nagekeken worden of er ergens "PasswordAuthentication yes" staat vermeld, zo niet kan je dit toevoegen onderaan de file. Vervolgens moet de ssh service opnieuw gestart worden. Dit kan je doen met het commando "service sshd restart".
Sudoer settings
In de locatie /etc/sudoers.d, moeten de PAM sudoers files toegevoegd worden met als doel:
Het PAM reconciliation account de juiste rechten te geven, het moet het recht hebben om wachtwoorden te veranderen met het command nopasswd.
Het PAM support team heeft het recht om aanpassing uit te voeren op het break glass account.
De standaard accounts die geassocieerd worden met root of een andere account, moet de juiste rechten hebben om nopasswd te gebruiken
Opmerking: Fouten in de sudoers file kan ervoor zorgen dat er problemen zijn met aanmelden op de server.