Cómo utilizar PAM para conseguir la autenticación de usuarios de un sitio Drupal

Introducción

PAM permite desacoplar los mecanismos de autenticación y autorización de usuarios de los «clientes» que los requieren. De ese modo es posible cambiar una autenticación basada en cuentas UNIX a un sistema Kerberos o LDAP sin tener que modificar nada en la configuración de las aplicaciones. Únicamente hay que cambiar la configuración de PAM.

PAM Auth

El módulo PAM Authentication permite delegar la autenticación de usuarios de Drupal, a excepción de admin por razones obvias. El módulo es en realidad bastante sencillo porque delega todo el trabajo a la extencsón php_pam. Por eso, la configuración específica debería estar en el fichero /etc/pam.d/php.

Este es un ejemplo que utiliza Kerberos como primera opción, si falla utiliza una servidor LDAP. Además exige que el usuario autentificado pertenezca al grupo «research»:

auth [success=1 default=ignore] pam_krb5.so minimum_uid=5000
auth required pam_ldap.so try_first_pass
auth required pam_succeed_if.so user ingroup research
auth required pam_permit.so