Linux-PAM的分析与应用 Application and Analysis of Linux-PAM.pdfVIP

5 第203059鬻55妒 I—nfo信rmat息izat化ion研Rese究arc．h 瑚Ma‘y3m2009 年月 Linux-PAM的分析与应用 吴晓彬1，周 超2 (1．南京工程学院计算机学院，江苏省南京市211167； 2．焦作大学计算机工程系，河南省焦作市454003) 理者可以自由选择应用程序使用的认证机制。文中分析了Linux-PAM机制的工作原理，介绍了PAM 程接口)，将系统提供的服务和该服务的认证方式分开，使得系统管理者可以根据需要给出不同的服 务配置和不同的认证方式而无需更改服务程序。 关键词：Linux；PAM；身份认证 中图分类号：唧16．8 块。这屿模块进入某个管理组并且按照配置文件设置 0引言 的顺序层叠在一起。它们为应用程序执行各种认证任 身份认证是操作系统安全的重要机制之一，系统 通过认证机制核查用户的身份证明，并作为用户进入 现信息交换。 系统的判定条件，是防止恶意用户进入系统的第一道 PAM提供了对所有服务进行认证的中央机制，适 门槛。在历史上，需要对用户进行认证的应用程序，必 用于login、远程登录、SR等应用程序中。系统管理员 须与某种认证机制编译到一起。然而，当系统中引入 通过PAM配置文件来制定不同应用程序的不同认证 新的认证机制时，一些系统入口登录服务如login、dog-策略；应用程序开发者通过在服务程序中使用PAM in和telnet等应用程序就必须改写以适应新的认证机API(应用编程接口)来实现对认证方法的调用；而 制。为了解决这个问题，人们开发了许多新的认证方 PAM服务模块的开发者则利用PAMSPI(服务编程接 法，现在大多数操作系统都采用PAM(可插式认证模口)来编写模块，将不同的认证机制加入到系统中； 块)实现身份认证。PAM框架将应用程序与具体的认PAM接口库则读取配置文件，将应用程序和相应的 证机制分离，使得系统改变认证机制时，不再需要修改 PAM服务模块联系起来。PAM框架结构如图1所示。 采用认证机制的应用程序，而只要由管理员配置应用 程序的认证服务模块，极大地提高了认证机制的通用 {蔷胼叫蕊 T T ● l 性与灵活性。 ● PAM PAMhandle I_ 配置数据 1 PAM机制原理 Linux．PAM(用于Linux的PAM)是一组共享库， 使用这些模块，系统管理者可以自由选择应用程序使 图1 PAM框架结构 用的认证机制。也就是说，不必重新编译应用程序就 可以切换应用程序使用的认证机制，甚至，不必触动应 用程序就可以完全升级系统使用的认证机制。应用程 个非常重要的处理句柄，是PAM与应用程序通信的唯 序使用的管理方式通过相关Linux．PAM配置文件设 一数据结构，