contrib/libpam/doc/modules/pam_wheel.sgml

   1 <!--
   2    $Id: pam_wheel.sgml,v 1.3 1997/02/15 18:25:44 morgan Exp morgan $
   3
   4    This file was written by Andrew G. Morgan <morgan@parc.power.net>
   5         from notes provided by Cristian Gafton.
   6 -->
   7
   8 <sect1>The wheel module
   9
  10 <sect2>Synopsis
  11
  12 <p>
  13 <descrip>
  14
  15 <tag><bf>Module Name:</bf></tag>
  16 <tt/pam_wheel/
  17
  18 <tag><bf>Author:</bf></tag>
  19 Cristian Gafton &lt;gafton@redhat.com&gt;
  20
  21 <tag><bf>Maintainer:</bf></tag>
  22 Author.
  23
  24 <tag><bf>Management groups provided:</bf></tag>
  25 authentication
  26
  27 <tag><bf>Cryptographically sensitive:</bf></tag>
  28
  29 <tag><bf>Security rating:</bf></tag>
  30
  31 <tag><bf>Clean code base:</bf></tag>
  32
  33 <tag><bf>System dependencies:</bf></tag>
  34 Requires libpwdb.
  35
  36 <tag><bf>Network aware:</bf></tag>
  37
  38 </descrip>
  39
  40 <sect2>Overview of module
  41
  42 <p>
  43 Only permit root access to members of the wheel (<tt/gid=0/) group.
  44
  45 <sect2>Authentication component
  46
  47 <p>
  48 <descrip>
  49
  50 <tag><bf>Recognized arguments:</bf></tag>
  51 <tt/debug/;
  52 <tt/use_uid/;
  53 <tt/trust/;
  54 <tt/deny/;
  55 <tt/group=XXXX/
  56
  57 <tag><bf>Description:</bf></tag>
  58
  59 This module is used to enforce the so-called wheel group. By default,
  60 it permits root access to the system if the applicant user is a member
  61 of the <tt/wheel/ group (better described as the group with group-id
  62 <tt/0/).
  63
  64 <p>
  65 The action of the module may be modified from this default by one or
  66 more of the following flags in the <tt>/etc/pam.conf</tt> file.
  67 <itemize>
  68 <item>
  69 <tt/debug/ -
  70 Supply more debugging information to <tt/syslog(3)/.
  71
  72 <item>
  73 <tt/use_id/ -
  74 This option modifies the behavior of the module by using the current
  75 <tt/uid/ of the process and not the <tt/getlogin(3)/ name of the user.
  76 This option is useful for being able to jump from one account to
  77 another, for example with 'su'.
  78
  79 <item>
  80 <tt/trust/ -
  81 This option instructs the module to return <tt/PAM_SUCCESS/ should it
  82 find the user applying for root privilege is a member of the wheel
  83 group. The default action is to return <tt/PAM_IGNORE/ in this
  84 situation. By using the <tt/trust/ option it is possible to arrange
  85 for <tt/wheel/-group members to become root without typing a
  86 password. <bf/USE WITH CARE/.
  87
  88 <item>
  89 <tt/deny/ -
  90 This is used to reverse the logic of the module's behavior.
  91 If the user is trying to get <tt/uid=0/ access and is a member of the wheel
  92 group, deny access (for the wheel group, this is perhaps nonsense!):
  93 it is intended for use in conjunction with the <tt/group=/ argument...
  94
  95 <item>
  96 <tt/group=XXXX/ -
  97 Instead of checking the <tt/gid=0/ group, use the user's <tt/XXXX/
  98 group membership for the authentication. Here, <tt/XXXX/ is the name
  99 of the group and <bf/not/ its numeric identifier.
 100
 101 </itemize>
 102
 103 <tag><bf>Examples/suggested usage:</bf></tag>
 104
 105 To restrict access to superuser status to the members of the
 106 <tt/wheel/ group, use the following entries in your configuration
 107 file:
 108 <tscreen>
 109 <verb>
 110 #
 111 # root gains access by default (rootok), only wheel members can
 112 # become root (wheel) but Unix authenticate non-root applicants.
 113 #
 114 su      auth     sufficient     pam_rootok.so
 115 su      auth     required       pam_wheel.so
 116 su      auth     required       pam_unix_auth.so
 117 </verb>
 118 </tscreen>
 119
 120 </descrip>
 121
 122 <!--
 123 End of sgml insert for this module.
 124 -->