Linux-PAM系统管理指南(1)

　　摘要:Linux-PAM是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制
　　
　　1.简介
　　
　　　　Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制。
　　
　　　　在历史上，需要对用户进行验证的应用程序，必须同某种验证机制编译到一起。例如，传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码经过crypt加密后，然后和/etc/passwd文件中的密文进行比较。在这种系统中，如果优先权的识别不是基于这种方式，就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应用程序可以使用基于用户和用户组识别的验证方式。通常，用户组的分配是通过/etc/group文件。
　　
　　　　不幸的是，随着计算机速度的加快和网络的大范围普及，使用这种验证方式越来越不安全了。因此，人们开发了许多新的验证方法。
　　
　　　　Linux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件/etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形式保存在/usr/lib/security目录中。
　　
　　2.关于本文的一些说明
　　
　　　　在开始阅读本文时，你应该清楚本文假定特定的文件是在特定的目录中。我们遵照RFC-86的约定。有些Linux发布把这些文件放在不同的位置，因此如果你的系统是象RedHat之类的发布，那么你应该谨慎使用本文提供的例子。

　　
　　　　例如，本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下，而在RedHat Linux系统中它们被放在了/lib/security目录下。因此，使用本文的例子时应该注意进行必要的转换。
　　
　　3.综述
　　
　　　　我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序，login就是一个这样的程序。login要做两件事，首先查询用户，然后为用户提供所需服务，例如提供一个shell程序。
　　
　　　　通常，login会提示用户输入密码。然后对密码进行校验，这项任务就是Linux-PAM完成的。
　　
　　　　从程序员的角度看，Linux-PAM的任务就是校验用户的合法性。
　　
　　　　Linux-PAM具有很大的灵活性，系统管理者可以通过它自由选择使用的验证方式。你也可以自由选择应用程序使用的验证方式。Linux-PAM能够提供的验证方式多种多样，从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令，不一而足。
　　
　　　　为了描述Linux-PAM的灵活性，我们可以假想一种情况：一个系统管理者(父母)希望提高用户(他们的子女)的数学能力。他/她就可以通过一个孩子们非常喜欢的游戏“Shoot 'em up game”达成上述目的，当然前提是这个游戏能够使用PAM提供的验证机制。验证可以设置：每次孩子们要玩游戏时，都需要回答出一组小于12的随机数的乘积。这样孩子们每次玩游戏之前都可以练习乘法运算。随着他们的成长，可以增加数字的大小。
　　
　　　　Linux-PAM处理四种类型的任务：验证管理(auth)、帐户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式通过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。
　　
　　　　应用程序X，它通过一些接口调用Linux-PAM库，而自己并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容，根据配置文件加载程序X需要的模块。这些模块进入某个管理组并且按照配置文件设置的顺序层叠在一起。它们为应用程序执行各种验证任务。应用程序和用户之间通过conversation函数实现信息交换。
　　
　　3.1 入门
　　
　　　　下面是Seth Chaiklin说的一段话：
　　
　　从这一点来看，PAM应该工作在理想世界中，在这里所有的应用程序都没有错误。然而，事实远非如此。因此，如果你要使用PAM，需要考虑一些实际的问题。


   本篇文章共5页，此页为首页   下一页

　　引用提示：
　　内容页面：Linux-PAM系统管理指南(1) --- Linux
　　作者：计算机基础教程网
　　来源：www.ITWEN.com 计算机基础教程网 　　

　　版权申明：
　　本网站所有内容，未经注明的，版权一律属于计算机基础教程网(ＩＴＷＥＮ.com)制作署所有。转载引用本网站的原创文章，请务必注明信息来源，标明“计算机基础教程网(ＩＴＷＥＮ.com)”字样。
　　计算机基础教程网(ＩＴＷＥＮ.com)依法保护知识产权，如果我们的文章有涉及或侵犯您的有关权益，请即时与我们联系， 注明网址及文章，我们会即时处理或删除，感谢您的合作！ 　　

【大 中 小】【返回站点首页】【打印本页】【关闭本页】

资料搜索

人才招募

为了将ITWen.Com建设得更好，本站招募网站管理员数名。主要负责网站维护和论坛版块的贴子管理。要求能发现好的文章或贴子并负责置顶和放在首页，并删除…… 查看详细内容

热门文章

前面文章

·生动 让视频都“流”起来　下 ·MP3版课文 英语口语自己做 ·分行模块，自动识别英文和型号数[推荐精华] ·个人服务器架设全攻略(81) ·关于TOMCAT+APACHE整合后的servlet应用 ·初探关键字volatile ·程序员考试补课笔记-第二十一天 [] [返回上一页] [打 印] 上一篇文章：如何在两台linux服务器之间用RSA键对的方法SSH/SCP不需密码 下一篇文章：网管要用Linux 相关文章： Linux的用户口令及其安全性 Linux网络服务器的渗透测试 Linux下安装配置DNS服务器的方法 如何探查Linux系统DNS服务器运行状况 [图文]Linux系统中文输入法新选择Fitx Linux操作系统的Root密码修复 Linux系统下手写网卡的配置文件 Linux安装Apache与PHP的方法 深入了解Linux内核安全入侵侦察系统 详解Linux系统下常用的安全工具 Linux中的后门和常见日志工具 黑客入侵Linux操作系统实例 关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 源码发布 Copyright © 2003-2009 Ymyasp.Com. All Rights Reserved . 备案序号:粤ICP备07029071号