当前位置:操作系统 > Unix/Linux >>

PAM让用户不再抓狂

可插拔验证模块(Pluggable Authentication Module,PAM)是大多数Linux系统上的用户验证机制。PAM也是一个抽象层,它允许应用程序验证用户,而不需要了解底层系统的细节。PAM是模块化的,模块可以按照需要来添加和删除。

  简单地说,PAM允许应用程序使用各种不同的底层方法来验证用户或者进程,这些方法对于应用程序来说都是透明的。应用程序只需要知道PAM API,就可以利用被添加到PAM的任何模块,而不需要对应用程序进行任何修改。例如,密码的验证和智能卡的验证都能够按照同PAM相同的方式进行处理。

  多个Linux发行版里缺省地都装有PAM,包括RedHat、Mandrake和我最喜欢的Gentoo。如果你的系统里没有安装它,你还可以通过源代码或者二进制代码的形式获得PAM。你可以从你Linux发行版的下载网站得到它,或者从PAM的主页下载。

  以轻松方式的验证

  要做的第一件事是通过调用pam_start来初始化PAM系统。为了清除由PAM系统所分配的资源,就要调用pam_end。要进行简单的验证,你就要调用pam_authenticate。为了核实用户是否具有访问权,你要调用pam_accnt_mgmt。要记住,这些只是最基本的;系统所需要的要远比这个多。一个基本验证的完整例子就像下面这样:

  #include <stdio.h>

  #include <securite/pam_appl.h>

  #include <security/pam_misc.h>

  structpam_convconvstn = {

  misc_conv,/*built in conversation function*/

  NULL

  };

  int Authenticate(const char *uname){

  pam_handle_t *hPAM = NULL;/*Handle for use with all PAM functions*/

  intrslt = 0;

  /*The first parameter is the service name used in pam.conf*/

  rslt = pam_start("pamdemo", uname, &convstn, &hPAM);

  if (rslt != PAM_SUCCESS){

  return -1;

  }

  /*authenticate the user*/

  rslt = pam_authenticate(hPAM, 0);

  if (rslt != PAM_SUCCESS){

  return -1;

  }

  /*does the user have access*/

  rslt = pam_acct_mgmt(hPAM, 0);

  if (rslt != PAM_SUCCESS){

  return -1;

  }

  if (pam_end(hPAM, rslt) != PAM_SUCCESS){

  printf("PAM cleanup failed.");

  }

  return 0;

  }

  为了让上面的代码正确地运行,你需要把下面的命令加到/etc/pam.conf文件里:

  pamdemo

  auth

  required

  /usr/lib/security/pam_unix_auth.so

  pamdemo

  account

  required

  /usr/lib/security/pam_unix_acct.so

  一个重要的概念是对话函数,它负责提示用户正确地进行输入,并获取其输入的内容。所有的PAM应用程序都必须具有对话函数。在pam_misc.h里有一个叫做misc_conv的对话函数,应用程序可以使用它而不需要自己实现它。这个函数能够很好地用在大多数控制台应用程序里,但是当你需要为X-Windows应用程序进行验证的时候,你将需要实现自己的函数。这个函数必须具有下列签名。

  int (*conv)(intnum_msg, const structpam_message **msgm,

  structpam_response **response, void *appdata_ptr)

  该函数被分派给pam_conv::conv member。然后conv member就被用作PAM系统的回调(callback)。

  PAM为Linux里的验证提供了一个非常完整但是相对简单的API。传统的用于向应用程序加入验证功能的方式需要将你的验证代码写成特定的验证方法。如果验证方法发生了改变,你就必须重新编写你应用程序的验证代码。有了PAM,你可以更改底层的验证方法,而不会影响到你的系统。

  

上一个:Linux操作系统下防垃圾邮件基本功
下一个:Linux下常见紧急情况的应急处理小贴士

更多Unix/Linux疑问解答:
路由原理介绍
子网掩码快速算法
改变网络接口的速度和协商方式的工具miitool和ethtool
Loopback口的作用汇总
OSPF的童话
增强的ACL修改功能
三层交换机和路由器的比较
用三层交换机组建校园网
4到7层交换识别内容
SPARC中如何安装Linux系统(2)
SPARC中如何安装Linux系统(1)
用Swatch做Linux日志分析
实战多种Linux操作系统共存
浅析Linux系统帐户的管理和审计
Linux2.6对新型CPU的支持(2)
电脑通通透
玩转网络
IE/注册表
DOS/Win9x
Windows Xp
Windows 2000
Windows 2003
Windows Vista
Windows 2008
Windows7
Unix/Linux
苹果机Mac OS
windows8
安卓/Android
Windows10
如果你遇到操作系统难题:
访问www.zzzyk.com 试试
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,