科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道PAM让Linux操作系统的用户不再抓狂

PAM让Linux操作系统的用户不再抓狂

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

可插拔验证模块(Pluggable Authentication Module,PAM)是大多数Linux系统上的用户验证机制。PAM也是一个抽象层,它允许应用程序验证用户,而不需要了解底层系统的细节。PAM是模块化的,模块可以按照需要来添加和删除。

作者:ChinaITLab 来源:ChinaITLab 2007年10月17日

关键字: PAM 用户 操作系统 Linux

  • 评论
  • 分享微博
  • 分享邮件
 

可插拔验证模块(Pluggable Authentication Module,PAM)是大多数Linux系统上的用户验证机制。PAM也是一个抽象层,它允许应用程序验证用户,而不需要了解底层系统的细节。PAM是模块化的,模块可以按照需要来添加和删除。

简单地说,PAM允许应用程序使用各种不同的底层方法来验证用户或者进程,这些方法对于应用程序来说都是透明的。应用程序只需要知道PAM API,就可以利用被添加到PAM的任何模块,而不需要对应用程序进行任何修改。例如,密码的验证和智能卡的验证都能够按照同PAM相同的方式进行处理。

多个Linux发行版里缺省地都装有PAM,包括RedHat、Mandrake和我最喜欢的Gentoo。如果你的系统里没有安装它,你还可以通过源代码或者二进制代码的形式获得PAM。你可以从你Linux发行版的下载网站得到它,或者从PAM的主页下载。

以轻松方式的验证

要做的第一件事是通过调用pam_start来初始化PAM系统。为了清除由PAM系统所分配的资源,就要调用pam_end。要进行简单的验证,你就要调用pam_authenticate。为了核实用户是否具有访问权,你要调用pam_accnt_mgmt。要记住,这些只是最基本的;系统所需要的要远比这个多。一个基本验证的完整例子就像下面这样: 

  
  #include <stdio.h>
  #include <securite/pam_appl.h>
  #include <security/pam_misc.h>
  
  structpam_convconvstn = {
  misc_conv,/*built in conversation function*/
  NULL
  };
  
  int Authenticate(const char *uname){
  pam_handle_t *hPAM = NULL;/*Handle for use with all PAM functions*/
  intrslt = 0;
  /*The first parameter is the service name used in pam.conf*/
  rslt = pam_start("pamdemo", uname, &convstn, &hPAM);
  
  if (rslt != PAM_SUCCESS){
  return -1;
  }
  /*authenticate the user*/
  rslt = pam_authenticate(hPAM, 0);
  
  if (rslt != PAM_SUCCESS){
  return -1;
  }
  /*does the user have access*/
  rslt = pam_acct_mgmt(hPAM, 0);
  
  if (rslt != PAM_SUCCESS){
  return -1;
  }
  
  if (pam_end(hPAM, rslt) != PAM_SUCCESS){
  printf("PAM cleanup failed.");
  }
  
  return 0;
  }
 
 

为了让上面的代码正确地运行,你需要把下面的命令加到/etc/pam.conf文件里: 

  
  pamdemo  auth    required   /usr/lib/security/pam_unix_auth.so
  pamdemo  account  required   /usr/lib/security/pam_unix_acct.so
  

一个重要的概念是对话函数,它负责提示用户正确地进行输入,并获取其输入的内容。所有的PAM应用程序都必须具有对话函数。在pam_misc.h里有一个叫做misc_conv的对话函数,应用程序可以使用它而不需要自己实现它。这个函数能够很好地用在大多数控制台应用程序里,但是当你需要为X-Windows应用程序进行验证的时候,你将需要实现自己的函数。这个函数必须具有下列签名。

  

 
  int (*conv)(intnum_msg, const structpam_message **msgm,
  structpam_response **response, void *appdata_ptr)
  

该函数被分派给pam_conv::conv member。然后conv member就被用作PAM系统的回调(callback)。PAM为Linux里的验证提供了一个非常完整但是相对简单的API。传统的用于向应用程序加入验证功能的方式需要将你的验证代码写成特定的验证方法。如果验证方法发生了改变,你就必须重新编写你应用程序的验证代码。有了PAM,你可以更改底层的验证方法,而不会影响到你的系统。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号