contrib/libpam/doc/modules/pam_access.sgml

   1 <!--
   2
   3    pam_access module docs added by Tim Berger <timb@transmeta.com>
   4
   5 -->
   6
   7 <sect1> The access module
   8
   9 <sect2>Synopsis
  10
  11 <p>
  12 <descrip>
  13
  14 <tag><bf>Module Name:</bf></tag>
  15
  16 <tt>pam_access</tt>
  17
  18
  19 <tag><bf>Author[s]:</bf></tag>
  20
  21 Alexei Nogin &lt;alexei@nogin.dnttm.ru&gt;
  22
  23 <tag><bf>Maintainer:</bf></tag>
  24
  25 Author
  26
  27 <tag><bf>Management groups provided:</bf></tag>
  28
  29 account
  30
  31 <tag><bf>Cryptographically sensitive:</bf></tag>
  32
  33 <tag><bf>Security rating:</bf></tag>
  34
  35 <tag><bf>Clean code base:</bf></tag>
  36
  37 <tag><bf>System dependencies:</bf></tag>
  38 Requires a configuration file. By default
  39 <tt>/etc/security/access.conf</tt> is used but this can be overridden.
  40
  41 <tag><bf>Network aware:</bf></tag>
  42
  43 Through <tt/PAM_TTY/ if set, otherwise attempts getting tty name of
  44 the stdin file descriptor with <tt/ttyname()/.  Standard
  45 gethostname(), <tt/yp_get_default_domain()/, <tt/gethostbyname()/
  46 calls.  <bf/NIS/ is used for netgroup support.
  47
  48 </descrip>
  49
  50 <sect2>Overview of module
  51
  52 <p>
  53 Provides logdaemon style login access control.
  54
  55 <sect2> Account component
  56
  57 <p>
  58 <descrip>
  59
  60 <tag><bf>Recognized arguments:</bf></tag>
  61
  62 <tt>accessfile=<it>/path/to/file.conf</it></tt>
  63
  64 <tag><bf>Description:</bf></tag>
  65
  66 This module provides logdaemon style login access control based on
  67 login names and on host (or domain) names, internet addresses (or
  68 network numbers), or on terminal line names in case of non-networked
  69 logins. Diagnostics are reported through <tt/syslog(3)/.  Wietse
  70 Venema's <tt/login_access.c/ from <em/logdaemon-5.6/ is used with
  71 several changes by A. Nogin.
  72
  73 <p>
  74 The behavior of this module can be modified with the following
  75 arguments:
  76 <itemize>
  77
  78 <item><tt>accessfile=/path/to/file.conf</tt> -
  79 indicate an alternative <em/access/ configuration file to override
  80 the default. This can be useful when different services need different
  81 access lists.
  82
  83 </itemize>
  84
  85 <tag><bf>Examples/suggested usage:</bf></tag>
  86
  87 Use of module is recommended, for example, on administrative machines
  88 such as <bf/NIS/ servers and mail servers where you need several accounts
  89 active but don't want them all to have login capability.
  90
  91 For <tt>/etc/pam.d</tt> style configurations where your modules live
  92 in <tt>/lib/security</tt>, start by adding the following line to
  93 <tt>/etc/pam.d/login</tt>, <tt>/etc/pam.d/rlogin</tt>,
  94 <tt>/etc/pam.d/rsh</tt> and <tt>/etc/pam.d/ftp</tt>:
  95
  96 <tscreen>
  97 <verb>
  98 account  required       /lib/security/pam_access.so
  99 </verb>
 100 </tscreen>
 101
 102 Note that use of this module is not effective unless your system ignores
 103 <tt>.rhosts</tt> files.  See the the pam_rhosts_auth documentation.
 104
 105 A sample <tt>access.conf</tt> configuration file is included with the
 106 distribution.
 107
 108 </descrip>