传统应用程序的PAM验证

Question

我有一个传统应用程序，通过线路异步接收用户名/密码请求。由于我已经将用户名和密码存储为变量，因此在Linux（Debian 6）上使用PAM进行身份验证的最佳方式是什么？

我已经尝试写我自己的对话功能，但我不知道获取密码的最佳方式。我曾考虑将其存储在appdata中，并从pam_conv结构中引用它，但几乎没有关于如何执行该操作的文档。

是否有一种更简单的方式来验证用户而不会过度使用对话功能？我无法成功使用pam_set_data，但我不确定这是否合适。

下面是我在做什么：

user = guiMessage->username; 
pass = guiMessage->password; 

pam_handle_t* pamh = NULL; 
int   pam_ret; 
struct pam_conv conv = { 
    my_conv, 
    NULL 
}; 

pam_start("nxs_login", user, &conv, &pamh); 
pam_ret = pam_authenticate(pamh, 0); 

if (pam_ret == PAM_SUCCESS) 
    permissions = 0xff; 

pam_end(pamh, pam_ret); 

和初步尝试在会话功能导致（密码是硬编码用于测试）：

int 
my_conv(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *data) 
{ 
    struct pam_response *aresp; 

    if (num_msg <= 0 || num_msg > PAM_MAX_NUM_MSG) 
    return (PAM_CONV_ERR); 
    if ((aresp = (pam_response*)calloc(num_msg, sizeof *aresp)) == NULL) 
    return (PAM_BUF_ERR); 
    aresp[0].resp_retcode = 0; 
    aresp[0].resp = strdup("mypassword"); 

    *resp = aresp; 
    return (PAM_SUCCESS); 
} 

任何帮助，将不胜感激。谢谢！

Answer 1

这就是我最终做的。查看标有三个星号的评论。

#include <stdlib.h> 
#include <iostream> 
#include <fstream> 
#include <security/pam_appl.h> 
#include <unistd.h> 

// To build this: 
// g++ test.cpp -lpam -o test 

struct pam_response *reply; 

//function used to get user input 
int function_conversation(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *appdata_ptr) 
{ 
    *resp = reply; 
    return PAM_SUCCESS; 
} 

int main(int argc, char** argv) 
{ 
    if(argc != 2) { 
     fprintf(stderr, "Usage: check_user <username>\n"); 
     exit(1); 
    } 
    const char *username; 
    username = argv[1]; 

    const struct pam_conv local_conversation = { function_conversation, NULL }; 
    pam_handle_t *local_auth_handle = NULL; // this gets set by pam_start 

    int retval; 

    // local_auth_handle gets set based on the service 
    retval = pam_start("common-auth", username, &local_conversation, &local_auth_handle); 

    if (retval != PAM_SUCCESS) 
    { 
    std::cout << "pam_start returned " << retval << std::endl; 
    exit(retval); 
    } 

    reply = (struct pam_response *)malloc(sizeof(struct pam_response)); 

    // *** Get the password by any method, or maybe it was passed into this function. 
    reply[0].resp = getpass("Password: "); 
    reply[0].resp_retcode = 0; 

    retval = pam_authenticate(local_auth_handle, 0); 

    if (retval != PAM_SUCCESS) 
    { 
    if (retval == PAM_AUTH_ERR) 
    { 
     std::cout << "Authentication failure." << std::endl; 
    } 
    else 
    { 
     std::cout << "pam_authenticate returned " << retval << std::endl; 
    } 
    exit(retval); 
    } 

    std::cout << "Authenticated." << std::endl; 

    retval = pam_end(local_auth_handle, retval); 

    if (retval != PAM_SUCCESS) 
    { 
    std::cout << "pam_end returned " << retval << std::endl; 
    exit(retval); 
    } 

    return retval; 
} 

Answer 2

标准信息（如密码）传递PAM的方法是使用与pam_set_item PAM句柄（参见pam_set_item手册页）设置的变量。

您可以设置您的应用程序稍后需要使用的任何内容到pam_stack中。

pam_handle_t* handle = NULL; 
pam_start("common-auth", username, NULL, &handle); 
pam_set_item(handle, PAM_AUTHTOK, password); 

这将使密码：如果你想把密码进入pam_stack的，你应该通过设置PAM_AUTHTOK可变进栈类似于下面的伪代码调用pam_start（）后，马上就能做到这一点在堆栈中可用于任何使用它的模块，但通常必须通过在服务的pam_configuration中设置标准use_first_pass或try_first_pass选项（在本例中为/etc/pam.d/）来告诉模块使用它常见-AUTH）。

标准pam_unix模块确实支持try_first_pass，所以将它添加到您系统上的pam配置（在pam_unix的行末尾）并不会造成什么影响。

完成此操作后，从common-auth服务调用的任何对pam_authenticate（）的调用应该只是选择密码并使用它。关于use_first_pass和try_first_pass之间的差异的一个小记录：他们都告诉模块（在这个例子中是pam_unix）尝试pam_stack上的密码，但是当它们没有可用的密码/ AUTHTOK时，它们的行为有所不同。在缺少的情况下，use_first_pass失败，并且try_first_pass允许模块提示输入密码。

Answer 3

Fantius的解决方案为我工作，甚至作为根。

我最初选择了John的解决方案，因为它更干净，并且使用PAM变量而没有对话功能（实际上，这里没有必要），但它不会，也不会工作。正如Adam Badura在两篇文章中提到的，PAM有一些内部检查来防止直接设置PAM_AUTHTOK。

John的解决方案将导致类似here的行为，其中任何密码值都将被允许登录（即使您声明，但不定义pam_conv变量）。

我还建议用户注意malloc的位置，因为它可能会在你的应用程序中有所不同（请记住，上面的代码更多的是测试/模板，而不是其他任何东西）。