lib/libpam/modules/pam_ssh/pam_ssh.8

   1 .\" Copyright (c) 2001 Mark R V Murray
   2 .\" All rights reserved.
   3 .\"
   4 .\" Redistribution and use in source and binary forms, with or without
   5 .\" modification, are permitted provided that the following conditions
   6 .\" are met:
   7 .\" 1. Redistributions of source code must retain the above copyright
   8 .\"    notice, this list of conditions and the following disclaimer.
   9 .\" 2. Redistributions in binary form must reproduce the above copyright
  10 .\"    notice, this list of conditions and the following disclaimer in the
  11 .\"    documentation and/or other materials provided with the distribution.
  12 .\"
  13 .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  14 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  15 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  16 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  17 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  18 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  19 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  20 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  21 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  22 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  23 .\" SUCH DAMAGE.
  24 .\"
  25 .\" $FreeBSD$
  26 .\"
  27 .Dd July 7, 2001
  28 .Dt PAM_UNIX 8
  29 .Os
  30 .Sh NAME
  31 .Nm pam_unix
  32 .Nd UNIX PAM module
  33 .Sh SYNOPSIS
  34 .Op Ar service-name
  35 .Ar module-type
  36 .Ar control-flag
  37 .Pa pam_unix
  38 .Op Ar options
  39 .Sh DESCRIPTION
  40 The
  41 .Ux
  42 authentication service module for PAM,
  43 .Nm
  44 provides functionality for two PAM categories:
  45 authentication
  46 and account management.
  47 In terms of the
  48 .Ar module-type
  49 parameter, they are the
  50 .Dq Li auth
  51 and
  52 .Dq Li account
  53 features.
  54 It also provides a null function for session management.
  55 .Ss Ux Ss Authentication Module
  56 The
  57 .Ux
  58 authentication component
  59 provides functions to verify the identity of a user
  60 .Pq Fn pam_sm_authenticate ,
  61 which obtains the relevant
  62 .Xr passwd 5
  63 entry.
  64 It prompts the user for a password
  65 and verifies that this is correct with
  66 .Xr crypt 3 .
  67 .Pp
  68 The following options may be passed to the authentication module:
  69 .Bl -tag -width ".Cm use_first_pass"
  70 .It Cm debug
  71 .Xr syslog 3
  72 debugging information at
  73 .Dv LOG_DEBUG
  74 level.
  75 .It Cm use_first_pass
  76 If the authentication module
  77 is not the first in the stack,
  78 and a previous module
  79 obtained the user's password,
  80 that password is used
  81 to authenticate the user.
  82 If this fails,
  83 the authentication module returns failure
  84 without prompting the user for a password.
  85 This option has no effect
  86 if the authentication module
  87 is the first in the stack,
  88 or if no previous modules
  89 obtained the user's password.
  90 .It Cm try_first_pass
  91 This option is similar to the
  92 .Cm use_first_pass
  93 option,
  94 except that if the previously obtained password fails,
  95 the user is prompted for another password.
  96 .It Cm auth_as_self
  97 This option will require the user
  98 to authenticate themself as the user
  99 given by
 100 .Xr getlogin 2 ,
 101 not as the account they are attempting to access.
 102 This is primarily for services like
 103 .Xr su 1 ,
 104 where the user's ability to retype
 105 their own password
 106 might be deemed sufficient.
 107 .It Cm nullok
 108 If the password database
 109 has no password
 110 for the entity being authenticated,
 111 then this option
 112 will forgo password prompting,
 113 and silently allow authentication to succeed.
 114 .El
 115 .Ss Ux Ss Account Management Module
 116 The
 117 .Ux
 118 account management component
 119 provides a function to perform account management,
 120 .Fn pam_sm_acct_mgmt .
 121 The function verifies
 122 that the authenticated user
 123 is allowed to login to the local user account
 124 by checking the password expiry date.
 125 .Pp
 126 The following options may be passed to the management module:
 127 .Bl -tag -width ".Cm use_first_pass"
 128 .It Cm debug
 129 .Xr syslog 3
 130 debugging information at
 131 .Dv LOG_DEBUG
 132 level.
 133 .El
 134 .Ss Ux Ss Password Management Module
 135 The
 136 .Ux
 137 password management component
 138 provides a function to perform account management,
 139 .Fn pam_sm_chauthtok .
 140 The function changes
 141 the user's password.
 142 .Pp
 143 The following options may be passed to the password module:
 144 .Bl -tag -width ".Cm use_first_pass"
 145 .It Cm debug
 146 .Xr syslog 3
 147 debugging information at
 148 .Dv LOG_DEBUG
 149 level.
 150 .It Cm no_warn
 151 suppress warning messages to the user.
 152 These messages include
 153 reasons why the user's
 154 authentication attempt was declined.
 155 .It Cm local_pass
 156 forces the password module
 157 to change a local password
 158 in favour of a NIS one.
 159 .It Cm nis_pass
 160 forces the password module
 161 to change a NIS password
 162 in favour of a local one.
 163 .El
 164 .Sh FILES
 165 .Bl -tag -width ".Pa /etc/master.passwd" -compact
 166 .It Pa /etc/master.passwd
 167 default
 168 .Ux
 169 password database.
 170 .El
 171 .Sh SEE ALSO
 172 .Xr passwd 1 ,
 173 .Xr getlogin 2 ,
 174 .Xr crypt 3 ,
 175 .Xr syslog 3 ,
 176 .Xr pam.conf 5 ,
 177 .Xr passwd 5 ,
 178 .Xr pam 8