Linux_PAM_1.1.0_系统管理员指南.pdf

最近接触PAM 比较多，而中文版的文档过于老久，所以专门下载了英文版的指南，边学习边 翻译。 1 简介 Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux 的插入式验证模块) 是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是 说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序 就可以完全升级系统使用的验证机制。 在历史上，需要对用户进行验证的应用程序，必须同某种验证机制编译到一起。例如， 传统的UN*X 系统是使用密码对用户进行校验的。用户输入的密码经过crypt 加密后，然后和 /etc /passwd 文件中的密文进行比较。在这种系统中，如果优先级授予的形式不是基于这种 单一方式，就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应用程序可以 使用基于用户和用户组识别的验证方式。通常，用户组的成员关系已经基于/etc/group 指定 了。 Linux- PAM 工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现 上述目的，一个应用程序可以使用这些函数库去进行用户的认证。PAM 库由本地的系统配置 文件 /etc/pam.conf 或者/etc/pam.d/ 目录下的一些配置文件来设置。而模块以动态可加载 目标文件(使用dloptn(3)函数打开)的形式保存在 /lib/security 和 /lib64/security 2 关于本文的一些说明 在开始阅读本文时，你应该清楚本文假定特定的文件是在特定的目录中。我们遵照 RFC-86 的约定。如果你使用的linux 发行版或其他支持PAM 的系统以不同的方式发布这些文 件的话，那么你应该谨慎使用本文提供的例子。 例如，本文假设PAM 可加载目标文件(模块)是在/lib/security/和/lib64/security/ 目 录下，这是符合 HFS （Filesystem Hierarchy Standard）标准的。在 Solaris 中，他们有 属于 Solaris 自己的PAM 版本，在其他的UN ＊X 中，你可能会在/usr/lib/security 中看到 这些文件。因此，使用本文的例子时应该注意进行必要的转换。 3 综述 我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序，login 就是一 个这样的程序。login 要做两件事，首先确认发出请求的这个用户是不是该用户本身，然后 为用户提供所需服务：在这里提供的是以一个以用户身份的运行的shell （bash, tcsh, zsh, etc.） 通常，login 所做的前面的步骤只是提示用户输入密码并与验证是否与系统本地中存储 的密码一致，然后对用户身份的验证，就是Linux-PAM 的工作了。 从一个程序开发人员的角度看（在这个例子中，就是login 程序的开发人员），Linux－ PAM 的工作就是校验－－验证用户的身份。 Linux-PAM 具有很大的灵活性，系统管理者可以通过它自由选择使用的验证方式。你也可 以自由的为部分或所有PAM-aware 的应用程序选择所使用的验证方式。Linux-PAM 能够提供 的验证方式多种多样，从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令， 不一而足。 为了描述Linux-PAM 的灵活性，我们可以假想一种情况：一个系统管理者(父母)希望提 高用户(他们的子女)的数学能力。他/她就可以通过一个孩子们非常喜欢的游戏“Shoot em up game”达成上述目的，当然前提是这个游戏能够使用PAM 提供的验证机制。验证可以设置： 每次孩子们要玩游戏时，都需要回答出一组小于12 的随机数的乘积。这样孩子们每次玩游戏 之前都可以练习乘法运算。随着他们的成长，可以增加数字的大小。 Linux-PAM 处理四种类型的任务：验证管理(auth)、帐户管理(account)、会话管理 (session)和口令管理 (password)。应用程序使用的管理方式通过相关的Linux-PAM 配置文 件设置。管理功能是有配置文件指定的模块完成的。配置文件的语法将会在下面讨论。 下图描述了Linux-PAM 组织架构： ++ | application: X | ++ / ++ +================+ | authentication-[--\--] Linux- |---