可插拔验证模块(Pluggable Authentication Module,PAM)是大多数Linux系统上的用户验证机制。PAM也是一个抽象层,它允许应用程序验证用户,而不需要了解底层系统的细节。PAM是模块化的,模块可以按照需要来添加和删除。
简单地说,PAM允许应用程序使用各种不同的底层方法来验证用户或者进程,这些方法对于应用程序来说都是透明的。应用程序只需要知道PAM API,就可以利用被添加到PAM的任何模块,而不需要对应用程序进行任何修改。例如,密码的验证和智能卡的验证都能够按照同PAM相同的方式进行处理。
多个Linux发行版里缺省地都装有PAM,包括RedHat、Mandrake和我最喜欢的Gentoo。如果你的系统里没有安装它,你还可以通过源代码或者二进制代码的形式获得PAM。你可以从你Linux发行版的下载网站得到它,或者从PAM的主页下载。
以轻松方式的验证
要做的第一件事是通过调用pam_start来初始化PAM系统。为了清除由PAM系统所分配的资源,就要调用pam_end。要进行简单的验证,你就要调用pam_authenticate。为了核实用户是否具有访问权,你要调用pam_accnt_mgmt。要记住,这些只是最基本的;系统所需要的要远比这个多。一个基本验证的完整例子就像下面这样:
#include <stdio.h>
#include <securite/pam_appl.h>
#include <security/pam_misc.h>
structpam_convconvstn = {
misc_conv,/*built in conversation function*/
NULL
};
int Authenticate(const char *uname){
pam_handle_t *hPAM = NULL;/*Handle for use with all PAM functions*/
intrslt = 0;
/*The first parameter is the service name used in pam.conf*/
rslt = pam_start("pamdemo", uname, &convstn, &hPAM);
if (rslt != PAM_SUCCESS){
return -1;
}
/*authenticate the user*/
rslt = pam_authenticate(hPAM, 0);
if (rslt != PAM_SUCCESS){
return -1;
}
/*does the user have access*/
rslt = pam_acct_mgmt(hPAM, 0);
if (rslt != PAM_SUCCESS){
return -1;
}
if (pam_end(hPAM, rslt) != PAM_SUCCESS){
printf("PAM cleanup failed.");
}
return 0;
}
为了让上面的代码正确地运行,你需要把下面的命令加到/etc/pam.conf文件里:
pamdemo auth required /usr/lib/security/pam_unix_auth.so
pamdemo account required /usr/lib/security/pam_unix_acct.so
一个重要的概念是对话函数,它负责提示用户正确地进行输入,并获取其输入的内容。所有的PAM应用程序都必须具有对话函数。在pam_misc.h里有一个叫做misc_conv的对话函数,应用程序可以使用它而不需要自己实现它。这个函数能够很好地用在大多数控制台应用程序里,但是当你需要为X-Windows应用程序进行验证的时候,你将需要实现自己的函数。这个函数必须具有下列签名。
int (*conv)(intnum_msg, const structpam_message **msgm,
structpam_response **response, void *appdata_ptr)
该函数被分派给pam_conv::conv member。然后conv member就被用作PAM系统的回调(callback)。
PAM为Linux里的验证提供了一个非常完整但是相对简单的API。传统的用于向应用程序加入验证功能的方式需要将你的验证代码写成特定的验证方法。如果验证方法发生了改变,你就必须重新编写你应用程序的验证代码。有了PAM,你可以更改底层的验证方法,而不会影响到你的系统。