<?xml version="1.0"  encoding="UTF-8"?>
<!DOCTYPE article PUBLIC  "-//OASIS//DTD DocBook XML V4.5//EN"
    "http://docbook.org/xml/4.5/docbookx.dtd" [
<!ENTITY howto      "http://www.traduc.org/docs/howto/lecture/">
<!ENTITY guide      "http://www.traduc.org/docs/guides/lecture/">
]>

<article lang="fr">
 <articleinfo>
  <title>
  Guide pratique de l'authentification des utilisateurs
 </title>
 
   <subtitle>
     Version française de : <foreignphrase lang="en">User Authentication HOWTO</foreignphrase>
  </subtitle>
  
  <releaseinfo>Version&nbsp;: 0.9.fr.0.1</releaseinfo>  

  <pubdate>17 février 2005</pubdate>
 
 <author>
  <firstname>Peter</firstname><surname>Hernberg</surname>
 </author>
 
   <othercredit role="traduction" class="translator">
     <firstname>Raphaël</firstname>
     <surname>Semeteys</surname>
     <contrib>Adaptation française</contrib>
     <email>raphael semeteys CHEZ wanadoo POINT fr</email>
  </othercredit>

 <abstract>
 <para>

 Ce guide pratique explique comment l'information sur les utilisateurs 
 et les groupes est stockée, comment les utilisateurs sont authentifiés 
 sur un système Linux (PAM) et comment sécuriser l'authentification des 
 utilisateurs sur votre système.

 </para>
 </abstract>
 <keywordset>
  <keyword>Authentification des utilisateurs</keyword>
  <keyword>utilisateur</keyword>
  <keyword>mot de passe</keyword>
  <keyword>PAM</keyword>
  <keyword>NIS</keyword>
  <keyword>/etc/passwd</keyword>
  <keyword>/etc/shadow</keyword>
  <keyword>/etc/group</keyword>
  <keyword>/etc/gshadow</keyword>
 </keywordset>

    <revhistory>
        <revision>
          <revnumber>0.9.fr.0.1</revnumber>
        <date>2005-02-17</date>
            <authorinitials>rcs</authorinitials>
            <revremark>Adaptation française. Passage de SGML DocBook à XML DocBook.</revremark>
       </revision>
       <revision>
          <revnumber>0.9</revnumber>
          <date>2004-04-03</date>
          <authorinitials>fl</authorinitials>
          <revremark>Mise à jour des liens externes. <emphasis lang="en">Updated external links</emphasis></revremark>
       </revision>
       <revision>
          <revnumber>0.8</revnumber>
          <date>2003-02-20</date>
          <authorinitials>fl</authorinitials>
          <revremark>Modifications de langage et diverses corrections mineures. <emphasis lang="en">Language changes, various small fixes</emphasis></revremark>
       </revision>
       <revision>
          <revnumber>0.5</revnumber>
          <date>2000-05-15</date>
          <authorinitials>ph</authorinitials>
          <revremark>Ajout d'une section sur la  sécurisation de PAM et d'une autre sur les ressources. <emphasis lang="en">Added section on securing pam, added resources section</emphasis></revremark>
       </revision>
       <revision>
          <revnumber>0.1</revnumber>
          <date>2000-05-02</date>
          <authorinitials>ph</authorinitials>
          <revremark>Version initiale. <emphasis lang="en">Initial version</emphasis></revremark>
       </revision>
     </revhistory>
     
</articleinfo>

 <sect1>
  <title>
  Introduction
 </title>
  <sect2>
   <title>
   Comment ce document a vu le jour
  </title>
  <para>
  Alors que je tentais d'ajouter des services réseaux (pour la plupart inutiles :) à mon réseau personnel, j'ai été confronté à de nombreuses reprises au problème de l'authentification. J'ai donc décidé de comprendre comment l'authentification fonctionne sur Linux, d'écrire un guide pratique et d'en faire mon projet de fin d'études. J'espère que ce document vous aidera à comprendre cet aspect de l'administration système souvent oublié mais néanmoins très important.
  </para>
  </sect2>
  <sect2>
   <title>
   Nouvelles versions de ce document
  </title>
  <para>
   Vous trouverez la plus récente version française de ce document à l'adresse : <ulink url="&howto;User-Authentication-HOWTO.html"/>.
   </para>
   <para>
   La plus récente version de la version originale de ce document est disponible à l'adresse : <ulink url="http://www.linuxdoc.org"/>.
  </para>
  </sect2>
  <sect2>
   <title>
   Commentaires et corrections
  </title>
  <para>
  Merci de faire parvenir en anglais à l'auteur vos questions et commentaires relatifs à la version originale de ce document à l'adresse <email>petehern CHEZ yahoo POINT com</email>.
  </para>
  <para>
   N'hésitez pas à faire parvenir tout commentaire relatif à la version française de ce document à <email>commentaires CHEZ traduc POINT org</email> en précisant sont titre, sa date et sa version.
  </para>
  </sect2>
  <sect2>
   <title>
   Droits d'utilisation
  </title>
  <para>
   &copy; 2000 Peter Hernberg pour la version originale.
  </para>
  <para>
   &copy; 2005 Raphaël Semeteys pour la version française.
  </para>
  <para>
  Ce manuel peut être reproduit en tout ou partie, sans frais, en respectant les restrictions suivantes :
  </para>
  <itemizedlist>
   <listitem>
   <para>
   Le copyright ci-dessus et cette présente notice doivent être inclus sans modification sur toute copie, partielle ou complète.
   </para>
  </listitem>
   <listitem>
   <para>
   Toute traduction ou travail dérivé doit être approuvé par écrit par l'auteur avant distribution.
   </para>
  </listitem>
   <listitem>
   <para>
   Si vous ne distribuez qu'une partie de ce document, vous devez inclure les instructions nécessaires pour se procurer la totalité de ce guide pratique et offrir un moyen d'obtenir une version complète.
   </para>
  </listitem>
   <listitem>
   <para>
   De courts extraits peuvent être reproduits à titre de citation sans cette notice si l'origine du document est correctement indiquée. Des exceptions à ces règles peuvent être autorisées pour l'enseignement : écrivez  à l'auteur et demandez ce qu'il en est. Ces restrictions sont destinées à nous protéger en tant qu'auteurs, et non pas pour vous gêner en tant qu'enseignants ou élèves. Tout le code source inclus dans ce document (outre le XML dans lequel est écrit ce document) est placé sous la Licence Publique Générale GNU, dont vous trouverez une copie sur <ulink url="http://www.fsf.org/licensing/licenses/gpl.html" />.
   </para>
  </listitem>
  </itemizedlist>
  </sect2>
  <sect2>
   <title>
   Remerciements
  </title>
  <para>
  Merci à ma famille de me supporter depuis 18 ans. Merci aux gens de Debian de fournir une distribution si sympa avec laquelle je peux jouer. Merci à <ulink url="http://www.cgr.org/">CGR</ulink> de me payer à être un <foreignphrase lang="en">geek</foreignphrase>. Merci à Sandy Harris pour ses utiles suggestions. Et finalement j'aimerai remercier les fabricants de nouilles chinoises, car je ne sais comment je vivrais sans.
  </para>
  </sect2>
  <sect2>
   <title>Pré requis du lecteur</title>
   <para>
   Je considère dans la suite de ce document que le lecteur est à l'aise avec tout ce qui touche à l'exécution en ligne de commandes et l'édition de fichiers de configuration.
   </para>
  </sect2>
 </sect1>
 <sect1>
  <title>
  Comment l'information des utilisateurs est stockée sur votre système
 </title>
  <sect2>
   <title>
   <filename>/etc/passwd</filename>
  </title>
  <para>
  Dans pratiquement toutes les distributions Linux (ainsi que les versions commerciales d'Unix), l'information sur les utilisateurs est stockée dans <filename>/etc/passwd</filename>, un fichier texte contenant le <foreignphrase lang="en">login</foreignphrase> de chaque utilisateur, son mot de passe encrypté, un identifiant numérique unique d'utilisateur (appelé l'uid), un identifiant numérique unique de groupe (appelé le gid), un champ optionnel de commentaire (contenant généralement des choses comme le nom, le numéro de téléphone, etc.), le répertoire personnel et le shell préféré. Une entrée typique de <filename>/etc/passwd</filename> ressemble à ceci : 
  </para>
  <programlisting>
  pete:K3xcO1Qnx8LFN:1000:1000:Peter Hernberg,,,1-800-FOOBAR:/home/pete:/bin/bash
  </programlisting>
  <para>
  Comme vous pouvez le voir, c'est plutôt simple. Chaque entrée contient les six champs décrits plus haut, avec ":" comme séparateur. Si l'authentification des utilisateurs était aussi simple que cela, il n'y aurait pas besoin de ce guide.
  </para>
  </sect2>
  <sect2>
   <title>
   Mots de passes Shadow
  </title>
  <para>
  En observant votre <filename>/etc/passwd</filename>, il y a des chances que vous ayez vu quelque chose comme ceci :
  </para>
  <programlisting>
  pete:x:1000:1000:Peter Hernberg,,,1-800-FOOBAR:/home/pete:/bin/bash
  </programlisting>
  <para>
  Où est donc passé le mot de passe encrypté ? Avant de répondre, une petite explication s'impose.
  </para>
  <para>
  Le ficher <filename>/etc/passwd</filename>, qui contient l'information sur tous les utilisateurs y compris leurs mots de passes encryptés, est consultable par tous, ce qui rend capable n'importe quel utilisateur d'obtenir le mot de passe encrypté de n'importe qui sur le système. Bien que les mots de passes soient encryptés, des programmes de piratage sont largement disponibles. Les mots de passes Shadow ont été développés afin de combattre cette menace grandissante.
   </para>
   <para>
   Lorsque les mots de passes Shadow sont activés sur un système, le champ correspondant au mot de passe dans <filename>/etc/passwd</filename> est remplacé par un "x" et le véritable mot de passe encrypté est stocké dans <filename>/etc/shadow</filename>. Comme <filename>/etc/shadow</filename> est uniquement consultable par l'utilisateur root, les utilisateurs malicieux ne peuvent pas pirater les mots de passes des autres utilisateurs. Chaque entrée de <filename>/etc/shadow</filename> contient le login de l'utilisateur, son mot de passe crypté et un certain nombre de champs liés à l'expiration du mot de passe. Une entrée typique ressemble à ceci :
   </para>
   <programlisting>
    pete:/3GJllg1o4152:11009:0:99999:7:::
   </programlisting>
  </sect2>
  <sect2>
   <title>
   <filename>/etc/group</filename> et <filename>/etc/gshadow</filename>
  </title>
  <para>
  L'information sur les groupes est stockée dans <filename>/etc/group</filename>. Le format est similaire à celui de <filename>/etc/passwd</filename>, avec chaque entrée contenant des champs pour le nom du groupe, le mot de passe, l'identifiant numérique (gid) et une liste de membres du groupe séparés par des virgules. Une entrée typique de <filename>/etc/group</filename> ressemble à ceci :
  </para>
  <programlisting>
   pasta:x:103:spagetti,fettucini,linguine,vermicelli
  </programlisting>
  <para>
  Comme vous pouvez le voir, il est également possible d'utiliser des mots de passes Shadow. Bien que les groupes ne disposent pratiquement jamais de mots de passes propres, cela ne coûte rien de stocker les mots de passes Shadow des groupes dans <filename>/etc/gshadow</filename>.
  </para>
  </sect2>
  <sect2>
   <title>
   Mots de passes encryptés par MD5
  </title>
  <para>
  Traditionnellement, les mots de passes Unix sont encryptés avec la fonction standard crypt(). (Pour plus d'information sur la  fonction crypt(), se reporter à la page man <citerefentry><refentrytitle>crypt</refentrytitle><manvolnum>3</manvolnum></citerefentry>.) Au fur et à mesure que les ordinateurs sont devenus plus puissants, les mots de passes encryptés sont devenus plus faciles à pirater. Et avec l'émergence d'Internet, des outils de piratage utilisant la puissance de traitement de plusieurs ordinateurs en réseau ont fait leur apparition. De nombreuses "nouvelles" distributions offrent la possibilité d'encrypter les mots de passes avec l'algorithme de hashage MD5, qui est plus puissant. (Pour plus d'information sur l'algorithme de hashage MD5, se reporter au RFC 1321.) Bien que les mots de passes MD5 n'éliminent pas la menace du piratage, ils rendent cette tâche beaucoup plus difficile.
  </para>
  </sect2>
  <sect2>
   <title>
   Organiser le désordre
  </title>
  <para>
  Comme vous pouvez le voir, il existe plusieurs manières différentes de stocker l'information d'authentification des utilisateurs sur votre système (mots de passes Shadow sans encryptage MD5, mots de passes <filename>/etc/passwd</filename> avec encryptage MD5, etc.). Comment des programmes comme <application>login</application> et <application>su</application> savent-ils comment vérifier votre mot de passe ? Pire encore, et si vous vouliez modifier la manière dont les mots de passes sont stockés dans votre système ? Comment les programmes nécessitant votre mot de passe sauront-ils que les mots de passes sont désormais stockés différemment ? La solution est PAM.
  </para>
  </sect2>
 </sect1>
 <sect1>
  <title>
  PAM (Modules enfichables d'authentification ou <foreignphrase lang="en">Pluggable Authentication Modules</foreignphrase>)
 </title>
 <para>
 Les modules enfichables d'authentification sont au c&oelig;ur de toute distribution moderne de Linux.
 </para>
  <sect2>
   <title>
   Le pourquoi
  </title>
  <para>
  Au tout début de Linux, si un programme comme <application>su</application>, <application>passwd</application>, <application>login</application> ou <application>xlock</application>, avait besoin d'authentifier un utilisateur, il lisait simplement l'information nécessaire dans <filename>/etc/passwd</filename>. Pour modifier le mot de passe il éditait simplement <filename>/etc/passwd</filename>. Cette méthode simple mais maladroite posait de nombreux problèmes aux administrateurs systèmes et aux développeurs d'applications. Une fois MD5 et les mots de passes Shadow devenus incroyablement populaires, chaque programme nécessitant l'authentification d'un utilisateur devait savoir récupérer l'information appropriée, tout en étant capable de gérer de nombreuses configurations différentes. Lorsque vous vouliez modifier la configuration de l'authentification des utilisateurs, tous ces programmes devaient être recompilés. PAM élimine ce désordre en permettant aux programmes d'authentifier les utilisateurs de manière transparente, indépendamment de la méthode de stockage de l'information.
  </para>
  </sect2>
  <sect2>
   <title>
   Le quoi
  </title>
  <para>
  Voici un extrait du <ulink url="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html">Guide administrateur système Linux-PAM (version anglaise)</ulink> : "Le projet Linux-PAM a pour objet de séparer le développement de logiciels d'autorisation de celui de méthodes d'authentification sécurisées. Ceci est réalisé en fournissant une bibliothèque de fonctions utilisables par une application pour demander qu'un utilisateur soit authentifié". Avec PAM, peu importe que votre mot de passe soit stocké dans <filename>/etc/passwd</filename> ou sur un serveur à Hong Kong. Lorsqu'un programme a besoin d'authentifier un utilisateur, PAM fournit une bibliothèque contenant les fonctions appropriées à la méthode d'authentification utilisée. Comme cette bibliothèque est chargée dynamiquement, le changement de méthode d'authentification peut être réalisé par simple modification d'un fichier de configuration.
  </para>
  <para>
  La souplesse est un des plus grands atouts de PAM. PAM peut être utilisé, par exemple, pour refuser à certains programmes le droit d'authentifier les utilisateurs, pour n'autoriser que certains utilisateurs à être authentifiés, pour émettre des notifications lorsque certains programmes tentent de réaliser une authentification ou même pour priver tous les utilisateurs du droit de se connecter. La conception modulaire de PAM vous donne le contrôle total sur comment sont authentifiés les utilisateurs.
  </para>
  <sect3>
   <title>
   Les distributions qui supportent PAM
  </title>
  <para>
  A peu près toutes les distributions supportent PAM depuis longtemps. En voici une liste non exhaustive :
  </para>
  <itemizedlist>
   <listitem>
    <para>Redhat depuis la version 5.0</para>
   </listitem>
   <listitem>
    <para>Mandrake depuis la version 5.2</para>
   </listitem>
   <listitem>
    <para>Debian depuis la version 2.1 (support partiel dans la 2.1 -- support total depuis la 2.2)</para>
   </listitem>
   <listitem>
    <para>Caldera depuis la version 1.3</para>
   </listitem>
   <listitem>
    <para>Turbolinux depuis la version 3.6</para>
   </listitem>
   <listitem>
    <para>SuSE depuis la version 6.2</para>
   </listitem>
  </itemizedlist>
  <para>
  Cette liste est certainement incomplète et sans doute erronée. J'apprécierai que vous envoyiez toute correction ou ajout à cette liste à l'adresse <email>petehern CHEZ yahoo POINT com</email>.
  </para>
  </sect3>
  <sect3>
   <title>
   Installer PAM
  </title>
  <para>
  Installer PAM en partant de zéro est un long processus hors du périmètre de ce guide pratique. Si PAM n'est pas installé sur votre  système, vous utilisez probablement une version si ancienne de votre distribution qu'il y a de nombreuses autres raisons de la mettre à jour. Si vous voulez vraiment faire l'installation vous-même, alors vous n'êtes certainement pas le genre de personne que je peux  aider. Pour toutes ces raisons, je considèrerai que PAM est déjà installé sur votre système.
  </para>
  </sect3>  
  </sect2>
  <sect2>
   <title>
   Le comment
  </title>
  <para>
  Assez parlé, rentrons dans le vif du sujet.
  </para>
  <sect3>
   <title>
   Fichiers de configuration de PAM
  </title>
  <para>
  Les fichiers de configuration de PAM sont stockés dans le répertoire <filename class="directory">/etc/pam.d/</filename>. (Si vous n'avez pas de répertoire <filename class="directory">/etc/pam.d/</filename>, ne vous en faites pas, je traiterai ce cas dans la section suivante.) Jetons-y un coup d'&oelig;il.
  </para>
  <programlisting>
  <prompt>~$ </prompt><userinput>cd /etc/pam.d</userinput>
  <prompt>/etc/pam.d/$ </prompt><userinput>ls</userinput>
  chfn  chsh    login   other   passwd  su      xlock
  <prompt>/etc/pam.d/$ </prompt>
  </programlisting>
  <para>
  Le nombre de fichiers que vous trouverez dans ce répertoire varie en fonction de ce qui est installé sur votre système. Quoi qu'il en soit, vous avez remarqué l'existence d'un fichier pour chaque programme de votre système qui authentifie les utilisateurs. Comme vous l'avez probablement deviné, chaque fichier contient la configuration PAM pour le programme dont il porte le nom (sauf pour le fichier <filename>other</filename> dont nous allons parler dans un petit moment). Regardons le fichier de configuration PAM pour <application>login</application> (j'ai condensé le fichier par souci de simplicité) :
  </para>
  <programlisting>
  <prompt>/etc/pam.d/$ </prompt><userinput>cat login</userinput>
  # Configuration PAM pour login
  auth       requisite  pam_securetty.so
  auth       required   pam_nologin.so
  auth       required   pam_env.so
  auth       required   pam_unix.so nullok
  account    required   pam_unix.so
  session    required   pam_unix.so
  session    optional   pam_lastlog.so
  password   required   pam_unix.so nullok obscure min=4 max=8
  </programlisting>
  <para>
  Mais avant d'analyser ce fichier, je dois mentionner une petite chose.
  </para>
  </sect3>
  <sect3>
  <title>
  Remarque
  </title>
  <para>
  Un petit pourcentage des lecteurs doit probablement se dire "Oh non ! Je n'ai pas de répertoire /etc/pam.d ! Votre liste affirme que ma distribution intègre PAM, mais je ne retrouve pas ce répertoire. Sans PAM, ma vie n'a plus de sens ! Que puis-je faire ?". Ne vous inquiétez pas, tout n'est pas perdu. Si vous savez que votre distribution intègre PAM mais que vous n'avez aucun répertoire <filename class="directory">/etc/pam.d/</filename>, alors votre configuration PAM est stockée dans <filename>/etc/pam.conf</filename>. Plutôt que d'être répartie sur plusieurs fichiers, l'intégralité de votre configuration PAM est stockée dans un fichier unique. Cela modifie légèrement la configuration de PAM mais les ajustements adéquats sont expliqués dans la section 3.3.4.
  </para>
  </sect3>
  <sect3>
   <title>
   Syntaxe de configuration
  </title>
  <para>
  Les fichiers de configuration PAM ont la syntaxe suivante :
  </para>
  <programlisting>
  type  contrôle  chemin-vers-le-module   arguments-du-module
  </programlisting>
  <para>
  En prenant comme exemple le fichier de configuration de <application>login</application> (voir plus haut), regardons de plus près cette syntaxe :
  </para>
  <variablelist>
   <title>Eléments de configuration PAM</title>
   <varlistentry><term><token>type</token></term>
    <listitem><para>
    L'élément <emphasis>type</emphasis> précise à PAM quel type d'authentification utiliser pour un module donné. Les modules de même types peuvent être chaînés, imposant ainsi à l'utilisateur de satisfaire à de multiples exigences pour pouvoir être authentifié. PAM reconnaît quatre types :
    </para>
     <variablelist>
      <varlistentry><term>account</term>
       <listitem><para>
       Détermine si l'utilisateur est autorisé à accéder au service, si son mot de passe a expiré, etc.
       </para></listitem>
      </varlistentry>
      <varlistentry><term>auth</term>
       <listitem><para>
       Détermine si l'utilisateur est bien celui qu'il prétend être, généralement via un mot de passe, mais éventuellement via un moyen plus sophistiqué comme la biométrie.
       </para></listitem>
      </varlistentry>
      <varlistentry><term>password</term>
       <listitem><para>
       Fournit à l'utilisateur un mécanisme pour modifier son authentification. Une fois encore il s'agit généralement de son mot de passe.
       </para></listitem>
      </varlistentry>
      <varlistentry><term>session</term>
       <listitem><para>
       Les actions à réaliser avant et/ou après l'authentification de l'utilisateur. Cela peut inclure des choses comme monter/démonter le répertoire personnel de l'utilisateur, journaliser la connexion/déconnexion et restreindre les services mis à disposition de l'utilisateur.
       </para></listitem>
      </varlistentry>
     </variablelist>
     <para>
     Dans le fichier de configuration de <application>login</application>, on trouve au moins une entrée pour chacun de ces types. Comme il s'agit du programme qui permet à l'utilisateur de se connecter, il est compréhensible qu'il nécessite d'accéder à tous les types d'authentification.
     </para>
    </listitem>
   </varlistentry>
   <varlistentry><term><token>contrôle</token></term>
    <listitem><para>
    L'élément <emphasis>contrôle</emphasis> indique à PAM ce qu'il faut faire lorsque l'authentification réalisée par ce module échoue. PAM reconnaît quatre types de contrôles :
    </para>
    <variablelist>
     <varlistentry><term>requisite</term>
      <listitem><para>
      Tout échec retourné par le module implique le refus immédiat de l'authentification.
      </para></listitem>
     </varlistentry>
     <varlistentry><term>required</term>
      <listitem><para>
      L'échec implique également le refus de l'authentification, mais PAM passe quand même par tous les autres modules listés pour ce service avant de refuser définitivement l'authentification.
      </para></listitem>
     </varlistentry>
     <varlistentry><term>sufficient</term>
      <listitem><para>
      Si le retour du module est un succès, PAM accordera l'authentification, même si un module obligatoire (contrôle <emphasis>required</emphasis>) précédent a échoué.
      </para></listitem>
     </varlistentry>
     <varlistentry><term>optional</term>
       <listitem><para>
       Le fait que le module échoue ou non n'a d'impact uniquement dans le cas où il s'agit du seul module de ce type configuré pour le service.
       </para></listitem>
      </varlistentry>
     </variablelist>
     <para>
     Dans le fichier de configuration de <application>login</application>, on retrouve pratiquement tous les types de contrôles. <filename>pam_unix.so</filename> (le module principal d'authentification) est majoritaire parmi les modules requis (<emphasis>required</emphasis>), <filename>pam_securetty.so</filename> (qui s'assure que l'utilisateur se connecte) est le seul module obligatoire et <filename>pam_lastlog.so</filename> (qui récupère les informations sur la connexion le plus récente de l'utilisateur) est le seul module optionnel.
      </para>
     </listitem>
    </varlistentry>
    <varlistentry><term><token>chemin-vers-le-module</token></term>
     <listitem><para>
     Cet élément indique à PAM quel module utiliser et (éventuellement) où le trouver. La plupart des configurations contiennent uniquement le nom du module, comme c'est le cas dans notre fichier de configuration de <application>login</application>. Dans ce cas, PAM recherche les modules dans le répertoire par défaut des modules PAM, normalement <filename class="directory">/usr/lib/security</filename>. Cependant, si votre distribution Linux est conforme au standard FHS (<foreignphrase lang="en">Filesystem Hierarchy Standard</foreignphrase>), les modules PAM peuvent être trouvés dans <filename class="directory">/lib/security</filename>.
     </para></listitem>
    </varlistentry>
    <varlistentry><term><token>arguments-du-module</token></term>
     <listitem><para>
     Il s'agit des arguments à transmettre au module. Chaque module possède ses propres arguments. Par exemple, dans notre fichier de configuration de <application>login</application>, l'argument "nullok" ("null ok") passé au module <filename>pam_unix.so</filename> indique qu'un mot de passe vide ("null") est acceptable ("ok").
     </para></listitem>
    </varlistentry>
   </variablelist>
  </sect3>
  <sect3>
   <title>Fichier de configuration <filename>pam.conf</filename> </title>
   <para>
   Si votre configuration PAM est stockée dans <filename>/etc/pam.conf</filename> plutôt que dans <filename class="directory">/etc/pam.d/</filename>, les lignes de configuration sont un peu différentes. Plutôt que d'avoir un fichier de configuration par service, toutes les configurations sont stockées dans <filename>/etc/pam.conf</filename> avec le  nom du service comme premier élément de la  ligne. Par exemple, la ligne suivante dans <filename>/etc/pam.d/login</filename>:
    </para>
    <programlisting>
    auth    required    pam_unix.so nullok
    </programlisting>
    <para>
    deviendra celle-ci dans <filename>/etc/pam.conf</filename> :
    </para>
    <programlisting>
    login   auth    required    pam_unix.so nullok
    </programlisting>
    <para>
    A part cette différence mineure, le reste de la syntaxe de configuration PAM s'applique.
    </para>
   </sect3>
  </sect2>
  <sect2>
   <title>Obtenir de l'information complémentaire</title>
   <para>
   Pour plus d'information concernant la configuration de PAM et la référence complète des modules PAM, consultez le <ulink url="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html">Guide administrateur système Linux-PAM (version anglaise)</ulink>. Ce guide fait office de référence exhaustive et à jour au sujet de la configuration de PAM.
   </para>
  </sect2>
 </sect1>
 <sect1>
  <title>Sécuriser l'authentification des utilisateurs</title>
  <para>
  De nombreuses distributions intègrent une authentification des utilisateurs qui n'est pas sécurisée de manière adéquate. Cette  section présente certaines manières de sécuriser cette authentification sur votre système. Bien que faire ce qui est décrit plus bas rende votre système plus sécurisé, n'ayez cependant pas la naïveté de penser que cela vous rende pour autant invulnérable.
  </para>
  <sect2>
   <title>Un fichier <filename>/etc/pam.d/other</filename> sécurisé</title>
   <para>
   Chaque fichier placé dans <filename class="directory">/etc/pam.d/</filename> contient la configuration relative à un service donné. L'exception à la règle est le fichier <filename>/etc/pam.d/other</filename>. Ce fichier contient la configuration à utiliser pour tout service ne disposant pas de son propre fichier de configuration. Par exemple, si le service (imaginaire) <application>xyz</application> tentait une authentification, PAM chercherait un fichier <filename>/etc/pam.d/xyz</filename>. N'en trouvant aucun, l'authentification pour <application>xyz</application> serait déterminée par le fichier <filename>/etc/pam.d/other</filename>. Comme <filename>/etc/pam.d/other</filename> est la configuration utilisée en dernier recours, il est important qu'elle soit sécurisée. Nous allons étudier deux configurations de <filename>/etc/pam.d/other</filename>, l'une quasi-paranoïaque et l'autre plus permissive.
   </para>
   <sect3>
    <title>Une configuration paranoïaque</title>
    <para>
    Voici une configuration paranoïaque de <filename>/etc/pam.d/other</filename> :
    </para>
    <programlisting>
    auth            required    pam_deny.so
    auth            required    pam_warn.so
    account         required    pam_deny.so
    account         required    pam_warn.so
    password    required        pam_deny.so
    password    required        pam_warn.so
    session         required    pam_deny.so
    session         required    pam_warn.so
    </programlisting>
    <para>
    Dans cette configuration, lorsqu'un service inconnu tente d'accéder à n'importe lequel des quatre types de configuration, PAM refuse d'abord l'authentification (via le module <filename>pam_deny.so</filename>) et journalise ensuite une alerte dans syslog (via le module <filename>pam_warn.so</filename>). A moins d'un bogue dans PAM, cette configuration est fortement sécurisée. Le seul problème est que cela peut causer des problèmes si jamais vous effacez par accident le fichier de configuration d'un autre service. Si votre fichier <filename>/etc/pam.d/login</filename> est effacé par erreur, plus personne ne pourra plus se connecter !
    </para>
   </sect3>
   <sect3>
    <title>Une configuration plus permissive</title>
    <para>
    Voici une configuration moins vicieuse :
    </para>
    <programlisting>
    auth            required    pam_unix.so
    auth            required    pam_warn.so
    account         required    pam_unix.so
    account         required    pam_warn.so
    password    required        pam_deny.so
    password    required        pam_warn.so
    session         required    pam_unix.so
    session         required    pam_warn.so
    </programlisting>
    <para>
    Cette configuration autorisera un service inconnu à authentifier (via le module <filename>pam_unix.so</filename>), sans pour autant l'autoriser à modifier le mot de passe de l'utilisateur. Bien que cela permette l'authentification par des services inconnus, une alerte est générée dans le journal syslog à chaque fois qu'un tel service tente une authentification.
    </para>
   </sect3>
   <sect3>
    <title>Choix de la configuration <filename>/etc/pam.d/other</filename></title>
    <para>
    A moins que vous ayez une très bonne raison de ne pas le faire, je vous recommande fortement d'implémenter la première configuration de <filename>/etc/pam.d/other</filename>. C'est un bon réflexe d'être "sécurisé par défaut". Si jamais vous avez vraiment besoin d'accorder à un nouveau service le droit d'authentification, vous pouvez tout simplement créer un nouveau fichier de configuration PAM pour ce service.
    </para>
   </sect3>
  </sect2>
  <sect2>
   <title>Désactiver la connexion des utilisateurs avec des mots de passes vides</title>
   <para>
   Sur la plupart des systèmes Linux il existe un certain nombre de comptes utilisateurs "factices" utilisés pour attribuer des  droits à des services systèmes comme serveurs ftp, Web ou les passerelles de messagerie. Disposer de ces comptes permet à votre système d'être plus sécurisé car si ces services sont compromis, un utilisateur malveillant n'obtiendra que les droits limités du compte factice, plutôt que les droits étendus d'un service système tournant sous root. Cependant, donner le droit de connexion à ces comptes constitue une faille de sécurité car ils ont généralement des mots de passes vides. L'option de configuration qui active les mots de passes vides est l'argument "nullok" transmis au module. Vous préférerez enlever cet argument de tous les modules de type "auth" des services autorisant les connexions. Il s'agit habituellement du service <application>login</application>, mais cela peut également inclure des services comme <application>rlogin</application> et <application>ssh</application>. Ceci implique que la ligne suivante dans <filename>/etc/pam.d/login</filename> :
   </para>
   <programlisting>
   auth         required        pam_unix.so     nullok
   </programlisting>
   <para>
   doive être transformée en :
   </para>
   <programlisting>
   auth         required        pam_unix.so
   </programlisting>
  </sect2>
  <sect2>
   <title>Désactiver les services inutilisés</title>
   <para>
   En regardant les fichiers situés dans <filename class="directory">/etc/pam.d/</filename>, vous remarquerez probablement la présence de fichiers de configuration pour un certain nombre de programmes que vous n'utilisez pas, voire même certains dont vous n'avez jamais entendu parler. Bien que le fait d'accorder l'authentification à ces services ne crée probablement pas d'énorme trou de sécurité, vous feriez mieux de leur refuser ce droit. Le  meilleur moyen de désactiver l'authentification PAM pour ces programmes est de renommer ces fichiers. Ne trouvant pas le fichier nommé d'après le service, PAM appliquera la configuration par défaut <filename>/etc/pam.d/other</filename> qui est, a priori, très sécurisée. Si plus tard vous vous rendez compte avoir besoin d'un de ces programmes, vous pouvez tout simplement redonner au fichier son nom initial et tout fonctionnera comme c'est sensé le faire.
   </para>
  </sect2>
  <sect2>
   <title>Outils de piratage de mots de passes</title>
   <para>
   Les outils de piratage de mots de passes peuvent certes être utilisés par des utilisateurs malveillants pour mettre à mal un système, mais peuvent aussi être utilisés par les administrateurs systèmes pour vérifier le  niveau de sécurité des mots de passes sur leurs systèmes. Les deux outils de piratage de mots de passes les plus utilisés sont "crack" et "John the Ripper". "Crack" est probablement déjà intégré à votre distribution favorite. "John the Ripper" peut être téléchargé sur <ulink url="http://www.openwall.com/john/">http://www.openwall.com/john/</ulink>. Lancez les outils sur votre base de mots de passes et vous serez probablement surpris par le résultat.
   </para>
   <para>
   En outre, il existe un module PAM qui utilise la bibliothèque de "crack" pour vérifier le niveau de  sécurité du mot de passe d'un utilisateur lorsqu'il est modifié. Lorsque ce module est installé, l'utilisateur peut modifier son mot de passe uniquement lorsqu'il satisfait aux exigences minimales de sécurité.
   </para>
  </sect2>
  <sect2>
   <title>Mots de passes Shadow et MD5</title>
   <para>
   Comme déjà dit dans la première section de ce document, les mots de passes Shadow et MD5 vous permettent de sécuriser votre système. Lors de la procédure d'installation, la plupart des distributions modernes vous demanderont si vous désirez utiliser les mots de passes MD5 et/ou Shadow. A moins que vous ayez une bonne raison de ne pas le faire, vous devriez activer ces options. Le processus de conversion des mots de passe non MD5 et non Shadow est compliqué et hors du périmètre de ce document. Le <ulink url="http://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html">Guide pratique des mots de passes Shadow (version anglaise)</ulink> n'est plus vraiment à jour mais peut tout de même s'avérer utile sur le sujet.
   </para>
  </sect2>
 </sect1>
 <sect1>
  <title>Exemple d'utilisation</title>
  <para>
  Dans cette section, je vais illustrer ce qui a été présenté dans la section précédente à l'aide d'un exemple simple d'utilisation.
  </para>
  <sect2>
   <title>Apache + mod_auth_pam</title>
   <para>
   A titre d'exemple, nous allons installer et configurer <application>mod_auth_pam</application>, un module Apache permet d'authentifier les utilisateurs de votre serveur Web en passant par PAM. Dans la suite de cet exemple je considèrerai qu'Apache est déjà installé. Si ce n'est pas le cas, vous devriez être capables de trouver les paquetages d'installation auprès de votre distributeur.
   </para>
  </sect2> 
  <sect2>
   <title>Notre exemple</title>
   <para>
   L'objectif est de configurer sur notre serveur Web une zone privée, le répertoire <filename class="directory">famille/</filename>, nécessitant une authentification des utilisateurs via PAM. Ce répertoire contient des informations familiales réservées uniquement aux membres du groupe "famille".
   </para>
  </sect2>
  <sect2>
   <title>Installation de <application>mod_auth_pam</application></title> 
   <para>
   Tout d'abord, vous devez télécharger <application>mod_auth_pam</application> depuis <ulink url="http://pam.sourceforge.net/mod_auth_pam/">http://pam.sourceforge.net/mod_auth_pam/</ulink>. Utilisez les commandes suivantes pour compiler <application>mod_auth_pam</application> (vous devez être connectés en tant que root) : 
   </para>
   <programlisting>
   <prompt>~#</prompt> <userinput>tar xzf mod_auth_pam.tar.gz</userinput>
   <prompt>~#</prompt> <userinput>cd mod_auth_pam-1.0a</userinput>
   <prompt>~/mod_auth_pam-1.0a#</prompt> <userinput>make</userinput>
   <prompt>~/mod_auth_pam-1.0a#</prompt> <userinput>make install</userinput>
   </programlisting>
   <para>
   Si vous avec des problèmes lors de l'installation du module <application>mod_auth_pam</application>, assurez-vous d'avoir bien installé le paquetage <application>apache-dev </application> de votre distribution. Une fois le module installé vous devrez redémarrer Apache. Cela est habituellement fait par la commande suivante (encore une fois vous devez être root) :
   </para>
   <programlisting>
   <prompt>~#</prompt> <userinput>/etc/init.d/apache restart</userinput>
   </programlisting>
   </sect2>
   <sect2>
    <title>Configuration de PAM</title>
    <para>
    La configuration PAM pour Apache est stockée dans <filename>/etc/pam.d/httpd</filename>. La configuration par défaut (installée en même temps que <application>mod_auth_pam</application>) est sécurisée mais utilise un module (<filename>pam_pwdb.so</filename>) qui est indisponible sur de nombreux systèmes. (En outre, configurer ce module à partir de zéro sera une vraie partie de plaisir !) En conclusion, effacez le fichier <filename>/etc/pam.d/httpd</filename> et créez en un nouveau.
    </para>
    <sect3>
     <title>Décider comment configurer PAM</title>
     <para>
     Si nous désirons configurer comment PAM traitera les requêtes d'authentification d'Apache, nous devons déterminer exactement ce que PAM va vérifier. Tout d'abord, nous voulons que PAM vérifie que le mot de passe de l'utilisateur est identique à celui stocké au niveau du système. Cela ressemble au type "auth" et au module <filename>pam_unix.so</filename>. Nous positionnerons le contrôle du module à "<emphasis>required</emphasis>", ainsi l'authentification échouera en cas de mot de passe incorrect. Voici à quoi ressemblera la première ligne de notre fichier <filename>/etc/pam.d/httpd</filename> :
     </para>
     <programlisting>
     auth       required        pam_unix.so
     </programlisting>
     <para>
     Ensuite, nous devons nous assurer que le compte de l'utilisateur est valide (i.e. son mot de passe n'a pas expiré ou tout autre problème de ce genre). Il s'agit du type "account", qui est également fourni par le module <filename>pam_unix.so</filename>. De même, nous positionnerons le contrôle du module à "<emphasis>required</emphasis>". Après avoir ajouté cette ligne, notre fichier de configuration <filename>/etc/pam.d/httpd</filename> ressemble à ceci :
     </para>
     <programlisting>
     auth       required        pam_unix.so
     account    required        pam_unix.so
     </programlisting>
     <para>
     Ce n'est pas très sophistiqué mais cela fonctionne. C'est une bonne base de départ pour configurer des services PAM.
     </para>
    </sect3>
   </sect2>
   <sect2>
    <title>Configuration d'Apache</title>
    <para>
    Maintenant que PAM est configuré pour authentifier les requêtes d'Apache, nous allons configurer Apache afin d'utiliser PAM pour gérer l'accès au répertoire <filename class="directory">famille/</filename>. Pour ce faire, ajoutez les lignes suivantes à votre fichier <filename>httpd.conf</filename> (habituellement stocké dans le répertoire <filename class="directory">/etc/apache/</filename> ou <filename class="directory">/etc/httpd</filename>) :
    </para>
    <programlisting>
    &lt;Directory /var/www/famille&gt;
    AuthPAM_Enabled on
    AllowOverride None
    AuthName "Secrets de famille"
    AuthType "basic"
    require group famille
    &lt;/Directory&gt;
    </programlisting>
    <para>
    Il se peut que vous ayez à remplacer <filename class="directory">/var/www/</filename> par l'emplacement par défaut de vos documents Web, qui est souvent <filename class="directory">/home/httpd/</filename>. Quel que soit le répertoire concerné, vous devez y créer le sous répertoire <filename class="directory">famille</filename>.
    </para>
    <para>
    Avant de tester notre configuration, je vais prendre quelques minutes pour expliquer la configuration Apache que vous venez de réaliser. La directive &lt;Directory&gt; est utilisée pour encapsuler des données de configuration pour ce répertoire. A l'intérieur de cette directive, nous avons activé l'authentification PAM ("AuthPAM_enabled on"), désactivé la surcharge de la configuration ("AllowOverride none"), nommé la zone d'authentification "Secrets de famille" (AuthName "Secrets de famille"), positionné le type de l'authentification HTTP (et non l'authentification PAM) à la valeur par défaut ("AuthType "basic"") et restreint l'accès au groupe "famille" ("require group famille").
   </para>  
   </sect2>
   <sect2>
    <title>Test de notre configuration</title>
    <para>
    Maintenant que tout est correctement configuré, il est temps d'admirer notre succès. Lancez votre navigateur favori et rendez vous à http://votre-domaine/famille/ (en remplaçant votre-domaine par votre nom de domaine). Ca y est, vous disposez désormais d'un système d'authentification des utilisateurs !
    </para> 
   </sect2>
 </sect1>
 <sect1>
  <title>Ressources</title>
  <para>
  Il existe un certain nombre de ressources, en ligne ou pas, où vous pourrez trouver de l'information concernant l'authentification des utilisateurs. Si vous connaissez des ressources susceptibles d'être ajoutées à cette liste, envoyez moi un message à l'adresse <email>petehern CHEZ yahoo POINT com</email>.
  </para>
  <sect2>
   <title>PAM</title>
   <itemizedlist>
    <listitem><para>
     <ulink url="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html">Guide administrateur système Linux-PAM (version anglaise)</ulink>
    </para></listitem>
    <listitem><para>
     <ulink url="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam_modules.html">Manuel de développement de module Linux-PAM (version anglaise)</ulink>
    </para></listitem>
    <listitem><para>
     <ulink url="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam_appl.html">Manuel de développement d'application Linux-PAM (version anglaise)</ulink>
    </para></listitem>
   </itemizedlist>
  </sect2>
  <sect2>
   <title>Sécurité en général</title>
   <itemizedlist>
    <listitem><para>
     <ulink url="http://www.linuxsecurity.com/">linuxsecurity.com</ulink>
    </para></listitem>
    <listitem><para>
     <ulink url="http://www.securitywatch.com">securitywatch.com</ulink>
    </para></listitem>
    <listitem><para>
     <ulink url="&howto;Security-HOWTO.html">Guide pratique de la sécurité</ulink>
    </para></listitem>
    <listitem><para>
     <ulink url="http://www.packetstormsecurity.org">Packetstorm</ulink>
    </para></listitem>
   </itemizedlist>
  </sect2>
  <sect2>
   <title>Pages man</title>
   <para>
   Beaucoup d'information peut être recueillie dans les pages du manuel de votre système. Ci suivent quelques pages man relatives à l'authentification des utilisateurs. Le nombre entre parenthèses se réfère à la section concernée de la page man. Par exemple, pour visualiser la page man passwd(5), vous devez entrer <userinput>man 5 passwd</userinput>.
   </para>
   <itemizedlist>
    <listitem><para>
     <citerefentry><refentrytitle>passwd</refentrytitle><manvolnum>5</manvolnum></citerefentry>
    </para></listitem>
    <listitem><para>
     <citerefentry><refentrytitle>crypt</refentrytitle><manvolnum>3</manvolnum></citerefentry>
    </para></listitem>
    <listitem><para>
     <citerefentry><refentrytitle>pam.d</refentrytitle><manvolnum>5</manvolnum></citerefentry>
    </para></listitem>
    <listitem><para>
     <citerefentry><refentrytitle>group</refentrytitle><manvolnum>5</manvolnum></citerefentry>
    </para></listitem>
    <listitem><para>
     <citerefentry><refentrytitle>shadow</refentrytitle><manvolnum>5</manvolnum></citerefentry>
    </para></listitem>
   </itemizedlist>
  </sect2>
 </sect1>
 <sect1>
  <title>Conclusion</title>
  <para>
  J'espère que vous avez trouvé ce guide utile. Faites moi part de toute question, commentaire ou suggestion. Vous pouvez me contacter à l'adresse <email>petehern CHEZ yahoo POINT com</email>.
  </para>
 </sect1> 
</article>

Site hébergé sur un Cloud Public IKOULA Ikoula