快捷搜索:

PAM让Linux操作系统的用户不再抓狂

可插拔验证模块(Pluggable Authentication Module,PAM)是大年夜多半Linux系统上的用户验证机制。PAM也是一个抽象层,它容许利用法度榜样验证用户,而不必要懂得底层系统的细节。PAM是模块化的,模块可以按照必要来添加和删除。

简单地说,PAM容许利用法度榜样应用各类不合的底层措施来验证用户或者进程,这些措施对付利用法度榜样来说都是透明的。利用法度榜样只必要知道PAM API,就可以使用被添加到PAM的任何模块,而不必要对利用法度榜样进行任何改动。例如,密码的验证和智能卡的验证都能够按照同PAM相同的要领进行处置惩罚。

多个Linux发行版里缺省地都装有PAM,包括RedHat、Mandrake和我最爱好的Gentoo。假如你的系统里没有安装它,你还可以经由过程源代码或者二进制代码的形式得到PAM。你可以从你Linux发行版的下载网站获得它,或者从PAM的主页下载。

以轻松要领的验证

要做的第一件事是经由过程调用pam_start来初始化PAM系统。为了清除由PAM系统所分配的资本,就要调用pam_end。要进行简单的验证,你就要调用pam_authenticate。为了核实用户是否具有造访权,你要调用pam_accnt_mgmt。要记着,这些只是最基础的;系统所必要的要远比这个多。一个基础验证的完备例子就像下面这样:  #include

#include

#include

structpam_convconvstn = {

misc_conv,/*built in conversation function*/

NULL

};

int Authenticate(const char *uname){

pam_handle_t *hPAM = NULL;/*Handle for use with all PAM functions*/

intrslt = 0;

/*The first parameter is the service name used in pam.conf*/

rslt = pam_start("pamdemo", uname, &convstn, &hPAM);

if (rslt != PAM_SUCCESS){

return -1;

}

/*authenticate the user*/

rslt = pam_authenticate(hPAM, 0);

if (rslt != PAM_SUCCESS){

return -1;

}

/*does the user have access*/

rslt = pam_acct_mgmt(hPAM, 0);

if (rslt != PAM_SUCCESS){

return -1;

}

if (pam_end(hPAM, rslt) != PAM_SUCCESS){

printf("PAM cleanup failed.");

}

return 0;

}

为了让上面的代码精确地运行,你必要把下面的敕令加到/etc/pam.conf文件里:  pamdemo  auth    required   /usr/lib/security/pam_unix_auth.so

pamdemo  account  required   /usr/lib/security/pam_unix_acct.so

一个紧张的观点是对话函数,它认真提示用户精确地进行输入,并获取其输入的内容。所有的PAM利用法度榜样都必须具有对话函数。在pam_misc.h里有一个叫做misc_conv的对话函数,利用法度榜样可以应用它而不必要自己实现它。这个函数能够很好地用在大年夜多半节制台利用法度榜样里,然则当你必要为X-Windows利用法度榜样进行验证的时刻,你将必要实现自己的函数。这个函数必须具有下列署名。  int (*conv)(intnum_msg, const structpam_message **msgm,

structpam_response **response, void *appdata_ptr)

该函数被分派给pam_conv::conv member。然后conv member就被用作PAM系统的回调(callback)。PAM为Linux里的验证供给了一个异常完备然则相对简单的API。传统的用于向利用法度榜样加入验证功能的要领必要将你的验证代码写成特定的验证措施。假如验证措施发生了改变,你就必须从新编写你利用法度榜样的验证代码。有了PAM,你可以变动底层的验证措施,而不会影响到你的系统。

您可能还会对下面的文章感兴趣: