当前位置：首页 > news >正文

PAM从入门到精通（十九）

news 2025/11/22 23:44:48

接前一篇文章：PAM从入门到精通（十八）

本文参考：

《The Linux-PAM Application Developers' Guide》

PAM 的应用开发和内部实现源码分析

先再来重温一下PAM系统架构：

更加形象的形式：

六、整体流程示例

2. 更为完整的例程及解析

上一回讲解了更为详细复杂例程的第二部分，本文继续讲解其余部分。再来贴一下完整代码：

/* 使用PAM所必需的两个头文件*/
#include <security/pam_appl.h>
#include <security/pam_misc.h>static struct pam_conv conv = {misc_conv,NULL
}void main(int argc, char *argv[], char **renvp)
{pam_handle_t *pamh = NULL;int status;/* 初始化，并提供一个回调函数 */if ((pam_start("login", user_name, &conv, &pamh)) != PAM_SUCCESS)exit(1);/* 设置一些关于认证用户信息的参数 */pam_set_item(pamh, PAM_TTY, ttyn);pam_set_item(pamh, PAM_RHOST, remote_host);while (!authenticated && retry < MAX_RETRIES){status = pam_authenticate(pamh, 0);/* 认证，检查用户输入的密码是否正确 */}/* 认证失败则应用程序退出*/if (status != PAM_SUCCESS){……exit(1);}/*  通过了密码认证之后再调用帐号管理API，检查用户帐号是否已经过期 */if ((status = pam_acct_mgmt(pamh, 0)) != PAM_SUCCESS){if (status == PAM_AUTHTOK_EXPIRED){status = pam_chauthtok(pamh, 0);  /* 过期则要求用户更改密码 */if (status != PAM_SUCCESS)exit(1);}}/* 通过帐户管理检查之后则打开会话 */if (status = pam_open_session(pamh, 0) != PAM_SUCCESS)exit(status);……/* 建立认证服务的用户证书*/status = pam_setcred(pamh, PAM_ESTABLISH_CRED);if (status != PAM_SUCCESS)exit(status);……pam_end(pamh, PAM_SUCCESS);  /* PAM事务的结束 */……}

（6）pam_open_session函数

代码片段：

    /* 通过帐户管理检查之后则打开会话 */if (status = pam_open_session(pamh, 0) != PAM_SUCCESS)exit(status);

作用：

启动PAM会话管理。pam_open_session函数为先前成功通过身份验证的用户设置用户会话。会话稍后应通过调用pam_close_session()来终止。

应该注意的是，应用程序的有效uid（通过geteuid()获得）应该具有足够的权限来执行例如创建或挂载用户主目录之类的任务。

参数详解：

pam_handle_t *pamh

pamh参数是通过先前调用pam_start()获得的身份验证句柄。

此处传给pamh的实参为main函数中定义的pam_handle_t *pamh的地址&pamh。

int flags

flags参数是以下值中的零个或多个的二进制或：

PAM_SILENT

不发出任何消息。

此处传给flags的实参为0。

（7）pam_setcred函数

代码片段：

    /* 建立认证服务的用户证书*/status = pam_setcred(pamh, PAM_ESTABLISH_CRED);if (status != PAM_SUCCESS)exit(status);

作用：

设置用户凭证。pam_setcred函数用于建立、维护和删除用户的资格（凭据）。在对用户进行身份验证之后，在为用户打开会话之前（使用pam_open_session()），应该调用它来设置凭据。应在会话关闭后删除凭据（使用pam_close_session()）。

凭据（credential）是用户所拥有的东西。它是一些属性，如Kerberos票证或者构成给定用户的唯一性的补附加组成员资格。在Linux系统上，用户的UID和GID也是凭据。但是，已经决定这些属性（以及用户所属的默认补充组）是应由应用程序而不是PAM直接设置的凭据。应用程序应在调用此函数之前建立此类凭据。例如，initgroups()（或等效操作）应该（已）被执行。

参数详解：

pam_handle_t *pamh

pamh参数是通过先前调用pam_start()获得的身份验证句柄。

此处传给pamh的实参为main函数中定义的pam_handle_t *pamh的地址&pamh。

int flags

有效标志，其中任何一个可以与PAM_SILENT进行逻辑“或”运算，它们是：

PAM_ESTABLISH_CRED

初始化用户的凭据。

PAM_DELETE_CRED

删除用户的凭据。

PAM_REINITIALIZE_CRED

完全重新初始化用户凭据。

PAM_REFRESH_CRED

延长现有凭据的生命期（使用期限）。

此处传给flags的实参为PAM_ESTABLISH_CRED。

至此，代码流程中的所有函数就全部解析完了。

PAM从入门到精通（十九）

六、整体流程示例

2. 更为完整的例程及解析

相关文章：

PAM从入门到精通（十九）

apache httpd 多后缀解析漏洞

Flutter ☞ 数据类型

MyBatis-Plus 实战教程一

闭包（函数）

Go包介绍与初始化：搞清Go程序的执行次序

Python教程(15)——Python流程控制语句详解

JavaScript基础知识16——分支语句

web开发初级工程师学习笔记

Linux下Samba服务安装及启用全攻略

【C++】引用’‘的深入解析

java链式编程对象序列化问题

关于Redis(Redisson)超时问题的分析

Redis 主从复制，哨兵，集群——（2）哨兵篇

C++入门笔记分享

使用conda install一直卡在solving environment的解决方法

神经网络和AI的关系

[牛客]计算机网络习题笔记_1020

蓝牙音视频远程控制协议(AVRCP)介绍

家庭WIFI路由器、无线网卡购买指南

后进先出（LIFO）详解

Chapter03-Authentication vulnerabilities

Xshell远程连接Kali（默认 | 私钥）Note版

centos 7 部署awstats 网站访问检测

渗透实战PortSwigger靶场-XSS Lab 14：大多数标签和属性被阻止

【Redis技术进阶之路】「原理分析系列开篇」分析客户端和服务端网络诵信交互实现（服务端执行命令请求的过程 - 初始化服务器）

渲染学进阶内容——模型

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个生活电费的缴纳和查询小程序

Rapidio门铃消息FIFO溢出机制

接口自动化测试：HttpRunner基础