Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3521653
  • 博文数量: 534
  • 博客积分: 11595
  • 博客等级: 上将
  • 技术积分: 5785
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-22 17:00
文章分类

全部博文(534)

文章存档

2015年(4)

2014年(27)

2013年(15)

2012年(38)

2011年(36)

2010年(85)

2009年(63)

2008年(142)

2007年(124)

分类: LINUX

2007-10-24 12:01:58

PAM简介

PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写.它是一套共享库.它可以让系统管理员选择应用程序怎样去认证用户,而不需要知道应用程序的内部的实现细节,也不需要重新编译代码。

在PAM出现之前,一般的应用程序,在要去认证用户时,它们会将某种特定的认证方式硬编码到程序内部。比如,传统的UNI*操作系统上的用户登入程序,它先获得用户的用户名和密码,然后,将用户输入的密码进行计算得到密文,最后,将得到的密文和/etc/shadow文件中的该用户所在行的第二个字段进行比较,如果相同,则认证通过,否则,认证失败。这种认证过程的缺点在于,你无法方便地去改变登入程序所使用的这种认证方式(除非你自己去修改源代码,然后编译)。

随着计算机速度的飚升,和网络并行计算的的普及,越来越多的旧的认证机制变得非常得脆弱;同时,也出于用户管理方便的需要,我们有时侯需要去改变应用程序的认证过程 。这时候,传统的应用程序的认证机制就显得很不方便。PAM 就在这时候诞生了。

如果某个应用程序使用了PAM,当它需要进行用户认证的时候,只需要把认证过程简单得交给PAM模块,然后,由PAM模块对用户进行认证,PAM再将认证的结果返回给应用程序。应用程序并不知道PAM到底使用了使么方法对用户进行了认证,这个由系统管理员来决定。管理员可以天真地使用 simple trust (pam_permit)来进行认证,也可以使用非常复杂的认证方式,如网膜认证、声纹认证等。

下面是认证的过程图解。

pam-overview.jpg

上图中,左边是应用程序(application) X, 它简单地调用PAM模块所提供的接口 (interfaces), 然后中间的PAM模块读取PAM config file(PAM配置文件, 这些配置文件通常是/etc/pam.conf或者是/etc/pam.d/*)来决定使用什么认证方式。之后,PAM进行用户,最后,PAM将认证结果返回给应用程序。对于应用程序来讲,认证过程是怎么进行的,它并不知道。应用程序到底使用什么认证方式,是由管理员修改配置文件来决定的。

从图中可以看出,PAM的功能被分为四个部分: (1) authentication(认证), (2)account(账号管理), (3) password (密码管理), 和 (4)session (对话管理).

以下解释这四个功能的具体任务以及PAM提供给应用程序的接口:

Management interfaces Function
Authentication management
pam_authenticate()
pam_setcred()
认证用户
刷新和销毁用户的credentials
Account management pam_acct_mgmt() 检查用户的帐号是否有效、超时
Session management pam_open_session()
pam_close_session()
检查用户的帐号是否有效、超时
Password management pam_chauthtok() 修改密码

配置文件的修改:配置文件的格式为:

#服务名 模块类型 控制标志 模块路径 模块参数
login auth required pam_unix_auth.so nowarn
login session required pam_unix_session.so
login account required pam_unix_account.so

模块类型分别对应上述四种managements中的一种。PAM在认证时,就按照从上往下的顺序,依次进行每一个认证。

pam.conf中的 “控制标志” 实际上是指明这些 Stacked module 的工作方式.
它可取的值如下:
(a) required:
该模块的让正必须通过,失败者立即返回错误信息.

(b) optional:
表示可以忽略它的错误而继续下面一个模块.
(c)sufficient:
表明通过该模块的认证已经是足够了, 下面的模块就不用被调用了, 认证也就到此结束,PAM立即返回成功的消息.

在linux下, 也可以用/etc/pam.d中的文件来配置.这些文件的格式与pam.conf
类似,只是在文件中没有包含服务名. 其服务名就是它的文件名.
如上述的login也可以配置如下:
/etc/pam.d/login
auth required pam_unix.so debug
auth required pam_kerb.so use_mapped_pass
auth optional pam_rsa.so use_first_pass

一个例子:验证Linux的本地用户

下载:
  1. /*
  2. 你需要将一下几行加入到/etc/pam.conf中
  3. # check authorization
  4. check auth required pam_unix_auth.so
  5. check account required pam_unix_acct.so
  6. 或者,你可以新建一个文件/etc/pam.d/check 并将一下内容加入其中
  7. # check authorization
  8. auth required pam_unix_auth.so
  9. account required pam_unix_acct.so
  10. */
  11. #include
  12. #include
  13. #include
  14. static struct pam_conv conv = {
  15.     misc_conv,
  16.         NULL
  17. };
  18. int main(int argc, char *argv[])
  19. {
  20.     pam_handle_t *pamh=NULL;
  21.     int retval;
  22.     const char *user="nobody";
  23.     if(argc == 2) {
  24.         user = argv[1];
  25.     }
  26.     if(argc > 2) {
  27.         fprintf(stderr, "Usage: check_user [username]\n");
  28.         exit(1);
  29.     }
  30.     retval = pam_start("check", user, &conv, &pamh); /*use the check pam server*/
  31.     if (retval == PAM_SUCCESS)
  32.         retval = pam_authenticate(pamh, 0); /* is user really user? */
  33.     /* This is where we have been authorized or not. */
  34.     if (retval == PAM_SUCCESS) {
  35.         fprintf(stdout, "Authenticated\n");
  36.     } else {
  37.         fprintf(stdout, "Not Authenticated %s \n", pam_strerror(pamh, retval));
  38.     }
  39.     if (pam_end(pamh,retval) != PAM_SUCCESS) { /* close Linux-PAM */
  40.         pamh = NULL;
  41.         fprintf(stderr, "check_user: failed to release authenticator\n");
  42.         exit(1);
  43.     }
  44.     return ( retval == PAM_SUCCESS ? 0:1 ); /* indicate success */
  45. }

说明:编译此程序前,需要加入相应的头文件,并且加入pam和pam_misc两个共享库。

如果,你想使用其它认证方式,只需要修改/etc/pam.conf或者/etc/pam.d/check文件即可,并不需要再次编译此程序。

阅读(3595) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~