Cyrus SASL 認証Mechanism について（pam と shadow の違い）

表記の件につき質問です。

■パッケージバージョン：cyrus-sasl-2.1.26-21.el7.x86_64

/etc/sysconfig/saslauthd に記載する認証メカニズムに関する下記パラメータ

MECH=pam　または
MECH=shadow

両者は、結果的にともにシステムアカウント情報を利用することになると思いますが、
１．具体的に何が違うのですか？
２．両者の使い分け基準, メリット/デメリットを教えてください。

よろしくお願いいたします。

No.2 ベストアンサー 回答者： Wr5 回答日時： 2018/01/23 12:26

>最終的な /etc/shadow に対するアプローチは MECH=<pam|shadow> ともに全く手続きを経るのでしょうか。

それともそれぞれ別なアプローチになるのでしょうか？

ソース確認しないとなんとも言えませんが…。

プログラマ的立場から言えば、
MECH=pamならpamモジュール経由、MECH=shadowならシステムコール経由(あるいは/etc/shadowを直接読み込み)かと思われます。

この回答へのお礼

ご回答ありがとうございました。
理解が進みました。喉に閊えていた小骨がひとつ取れた感じです。

お礼日時：2018/01/23 17:09

No.1 回答者： Wr5 回答日時： 2018/01/22 22:42

細かいところは調べ切れていませんが…

PAM認証ならば、/etc/pam.d下においた設定ファイルの記述に従って
LDAPやActiveDirectoryやらの認証機構を使用できるものと思われます。
shadowの場合は/etc/shadowに記載されているユーザとその認証だけなんじゃないでしょうか？

サーバが1台だけ。
という環境ならばたいした違いは出ないかも知れませんが、複数のサーバがあって、ユーザをLDAP等の集中管理で行っている場合はPAM認証の法が柔軟性が高いモノと思われます。

この回答へのお礼

ご回答ありがとうございます。
概略イメージできました。
ついでというと失礼ですが、もしご存知でしたら教えてください。

もし LDAP, AD, SQL ではなくシステムアカウント情報を利用する場合、最終的な /etc/shadow に対するアプローチは MECH=<pam|shadow> ともに全く手続きを経るのでしょうか。それともそれぞれ別なアプローチになるのでしょうか？

以上よろしくお願いいたします。

お礼日時：2018/01/23 09:32