granicus.if.org Git - linux-pam/blob - doc/modules/pam_krb4.sgml

   1 <!--
   2    $Id$
   3
   4    This file was written by Derrick J. Brashear <shadow@DEMENTIA.ORG>
   5 -->
   6
   7 <sect1>The Kerberos 4 module.
   8
   9 <sect2>Synopsis
  10
  11 <p>
  12 <descrip>
  13
  14 <tag><bf>Module Name:</bf></tag>
  15 <tt/pam_krb4/
  16
  17 <tag><bf>Author:</bf></tag>
  18 Derrick J. Brashear &lt;shadow@dementia.org&gt;
  19
  20 <tag><bf>Maintainer:</bf></tag>
  21 Author.
  22
  23 <tag><bf>Management groups provided:</bf></tag>
  24 authentication; password; session
  25
  26 <tag><bf>Cryptographically sensitive:</bf></tag>
  27 uses API
  28
  29 <tag><bf>Security rating:</bf></tag>
  30
  31 <tag><bf>Clean code base:</bf></tag>
  32
  33 <tag><bf>System dependencies:</bf></tag>
  34 libraries - <tt/libkrb/, <tt/libdes/, <tt/libcom_err/, <tt/libkadm/;
  35 and a set of Kerberos include files.
  36
  37 <tag><bf>Network aware:</bf></tag>
  38 Gets Kerberos ticket granting ticket via a Kerberos key distribution
  39 center reached via the network.
  40
  41 </descrip>
  42
  43 <sect2>Overview of module
  44
  45 <p>
  46 This module provides an interface for doing Kerberos verification of a
  47 user's password, getting the user a Kerberos ticket granting ticket
  48 for use with the Kerberos ticket granting service, destroying the
  49 user's tickets at logout time, and changing a Kerberos password.
  50
  51 <sect2> Session component
  52
  53 <p>
  54 <descrip>
  55
  56 <tag><bf>Recognized arguments:</bf></tag>
  57
  58 <tag><bf>Description:</bf></tag>
  59
  60 This component of the module currently sets the user's <tt/KRBTKFILE/
  61 environment variable (although there is currently no way to export
  62 this), as well as deleting the user's ticket file upon logout (until
  63 <tt/PAM_CRED_DELETE/ is supported by <em/login/).
  64
  65 <tag><bf>Examples/suggested usage:</bf></tag>
  66
  67 This part of the module won't be terribly useful until we can change
  68 the environment from within a <tt/Linux-PAM/ module.
  69
  70 </descrip>
  71
  72 <sect2> Password component
  73
  74 <p>
  75 <descrip>
  76
  77 <tag><bf>Recognized arguments:</bf></tag>
  78 <tt/use_first_pass/; <tt/try_first_pass/
  79
  80 <tag><bf>Description:</bf></tag>
  81
  82 This component of the module changes a user's Kerberos password
  83 by first getting and using the user's old password to get
  84 a session key for the password changing service, then sending
  85 a new password to that service.
  86
  87 <tag><bf>Examples/suggested usage:</bf></tag>
  88
  89 This should only be used with a real Kerberos v4 <tt/kadmind/. It
  90 cannot be used with an AFS kaserver unless special provisions are
  91 made. Contact the module author for more information.
  92
  93 </descrip>
  94
  95 <sect2> Authentication component
  96
  97 <p>
  98 <descrip>
  99
 100 <tag><bf>Recognized arguments:</bf></tag>
 101 <tt/use_first_pass/; <tt/try_first_pass/
 102
 103 <tag><bf>Description:</bf></tag>
 104
 105 This component of the module verifies a user's Kerberos password
 106 by requesting a ticket granting ticket from the Kerberos server
 107 and optionally using it to attempt to retrieve the local computer's
 108 host key and verifying using the key file on the local machine if
 109 one exists.
 110
 111 It also writes out a ticket file for the user to use later, and
 112 deletes the ticket file upon logout (not until <tt/PAM_CRED_DELETE/
 113 is called from <em/login/).
 114
 115 <tag><bf>Examples/suggested usage:</bf></tag>
 116
 117 This module can be used with a real Kerberos server using MIT
 118 v4 Kerberos keys. The module or the system Kerberos libraries
 119 may be modified to support AFS style Kerberos keys. Currently
 120 this is not supported to avoid cryptography constraints.
 121
 122 </descrip>
 123
 124 <!--
 125 End of sgml insert for this module.
 126 -->