kcontrol/kdm:
[pardus-kurumsal-2-kde3:kdebase.git] / README.pam
1 KDE can be configured to support the PAM ("Pluggable Authentication 
2 Modules") system for password checking by the display manager kdm and 
3 by the screen saver kscreensaver (for unlocking the display).
4
5 PAM is a flexible application-transparent configurable user-authentication 
6 system found on FreeBSD, Solaris, and Linux (and maybe other unixes).
7
8 Information about PAM may be found on its homepage
9       http://www.kernel.org/pub/linux/libs/pam/
10 (Despite the location, this information is NOT Linux-specific.)
11
12
13 Known Solaris Issues:
14 --------------------
15
16 For compiling PAM support on Solaris,  PAM_MESSAGE_NONCONST must
17 be defined.   This should now be handled automatically by the 
18 configure script.
19
20
21 Using PAM
22 ---------
23
24 By default, PAM is automatically used, if it is found. Use
25 ./configure --without-pam  to disable it.
26
27 If PAM is found, KDE usually uses the PAM service "kde". You may
28 override it for all KDE programs by using --with-pam=<service> and/or
29 individually by using --with-<prog>-pam=<service>, where <prog> is
30 one of kdm, kcp and kss (for kdm, kcheckpass and kscreensaver).
31
32 "make install" will attempt to create suitable service definitions; either
33 by putting files into /etc/pam.d/ or by adding text to /etc/pam.conf. The
34 services are just copies of the "login" service. 
35 You may want to edit these definitions to meet your needs.
36 There are also two example service definitions in this directory -
37 kde.pamd and kscreensaver.pamd - but don't just copy them!
38 If the services are misconfigured, you will NOT be able to login via KDM
39 and/or unlock a locked screen!
40
41 If there is ever any doubt about which PAM service a program was
42 compiled with, it can be determined by examining the PAM-generated 
43 entries in the system log associated with kdm logins or kscreensaver
44 authentication failures.
45
46
47 PAM configuration files have four types of entries for each service:
48
49 type            used by kdm             used by kscreensaver
50 ----            -----------             --------------------
51 auth                x                           x
52 account             x                           
53 password            x                           
54 session             x
55
56 There may be more than one entry of each type. Check existing PAM
57 configuration files and PAM documentation on your system for guidance as
58 to what entries to make.  If you call a PAM service that is not
59 configured, the default action of PAM is likely to be denial of service.
60
61 Note: kdm implements PAM "session" support, which is not implemented in
62 certain PAM-aware xdm's that it may be replacing (e.g., the Red Hat 
63 Linux 5.x xdm did not implement it).  This may be configured to carry out 
64 actions when a user opens or closes an kdm session, if a suitable PAM 
65 module is available (e.g., mount and unmount user-specific filesystems).
66
67 Note 2: Screensavers typically only authenticate a user to allow her to
68 continue working. They may also renew tokens etc., where supported.
69 See the Linux PAM Administrators guide, which is part of the PAM
70 distribution, for more details. 
71
72