linux中的PAM介绍

The Linux-PAM Administrator Guide

介绍

 下的可插入式认证模组是一套共享函数库允许系统管理员来决定应用程

式如何识别用户

换句话说就是用不着重写和重新编译一个支援  的程式就可以切换它所用的认证机制

你可以整个的升级你的认证系统而不用去管应用程式本身

传统上当一个应用程序有身份识别的需求它就不得不把某一种验证算法写进去例如就传统

的  系统而言核对使用者身份的方法就是要求用户输入正确的密码这密码除了开头的两

全的验证机制变得易受攻击了面对这样的现实新的验证方法正在持续的开发中

 项目的目标是把赋权部分的开发以可靠的合适的鉴定模式从软件中分离出来。这目

标已经通过提供一组库函数实现了，应用程序可以用这些函数来请求验证某个用户。这个 

由特定的系统文件配置$#%或者是在$!里的一系列配置文件&以经由

特定的可用的认证模组来鉴定某个用户的请求。 这些个模组通常位于' 目录并

且以可动态加载的目标文件的形式出现 参见 !#

(文中的说明

在继续阅读之前请记住本文假定提到的文件位于默认的目录。这个默认的目录我们遵循

)*+)*+,-.见 ''#"/中的约定。如果你正用一个支持  但是却选择以不同的

方式发布这些文件的发布版的 或是其他的 01)!2 就是这样的发布版&那你从

户； #"就是这样的程序。 #"做两件事，它首先确认提出请求的用户正是他们自己，

第二步提供给他们所请求的服务： 就 #" 而言服务即是一个命令行外壳（#$$!

/）如 '/，/，6/ 之类。以这个用户的身份去跑。

传统上，前一个步骤通过 #" 提示用户输入密码然后确认系统是否同意登入；接着确认（就

系统而言）用户确实是提出要求的那人。这类工作就是  的典型应用。

从应用程序员的角度看（在这个例子里就是写 #" 程序的人），  处理认证的工

作——确认用户的身份。

 的弹性在于，你，系统管理员有权来决定实施怎样的验证方案。你有权来设定你的

系统里的任何支持  的应用程序的验证方案。就是说，你可以将验证方案设计成单纯的信

任78任何人（$9$）到像偏执狂似的通过视网膜扫描，声音识别和一个密码！

举例说明你所面对的弹性，考虑以下情形：系统管理员（家中的父母）希望提高他的使用者

（孩子们）的算术能力。她可以设置他们喜欢玩的 “1/##:$;（游戏，当然得支持

）通过提问小于 ( 的一对随机数的乘积的办法来进行认证。很明显不管游戏本身如何，

'/<##%#$! //<

分讨论。

下面的插图描述了  的整个组织结构。

> #%#图的左边表示一个应用程序3这应用程序有和 库的接

们出现在配置文件中的顺序堆叠起来 这些模组由  呼叫后为应用程序执行不同的

认 证 工 作   需 要 用 户 提 供 或 提 供 给 用 户 的 文 本 信 息  可 以 通 过 使 用 应 用 程 序 提 供 的

#<# 函数来交换

以下段落由 1/+/@ 供稿3

到现在为止我们描述了  如何工作在一个理想世界里

在这儿所有应用程序都被正确编写

然而到此时AA, 年 . 月这距离现实还太远

D!3事实上还是有一个好处你可以令认证变哑就象没有任何认证像 BAE

在网络环境里很显然关于用户你必需多想点/#!#/@

如果运行  作为服务器提供一些不同的服务 "经由密码控制的 BBB 区域限制



那  就有一些实际的和有趣的价值尤其是通过使用使用模块能够使

一个程序经过几个不同的密码库来查找哪怕那个程序没有专为那密码库写的代码

下面有一些例子 2#$$#%/#'

//'

&&&&&这意味着，所有  能调用的模块都可以被 / 使用，包括 )5G1G1+

&&&&&用  模块来进行基于 #< 密码库或 44密码库的认证

&&#&以上两则例子可以有组合应用想象一下你办公室部门的用户已经经过用户名密码

&&&&&认证登入 #< 或 4如果你想要他在  下的应用也用相同的用户名密码

&&&&&为  登入 ' 服务或者只是普通的 / 登入你可以通过  进行基于这些已

&&&&&存在的数据库译者注3#< 的或者 4 的的用户认证而无须在  和  服务器里

&&&&&各自维护独立的数据库