pam会话函数详解

最新推荐文章于 2023-10-18 10:47:33 发布
最新推荐文章于 2023-10-18 10:47:33 发布
阅读量2.4k 收藏 3
点赞数
会话函数也叫转换函数,是服务(如sshdvsftpd)中的函数。Pam 模块可以取到这个函数并且使用这个函数。

        会话函数的作用就是处理与用户之间的会话。就是说,可以向用户、服务或设备显示消息,并从中收集输入内容。会话可采用多种形式,例如,文本终端设备中常见的”Login:”提示

此部分主要包括会话函数的注册、实现、获得、使用。其中注册、实现在服务(sshd服务)中完成。获得、使用在pam模块中完成。

1.1 会话函数的注册

        应用服务程序(如sshd调用 pam_start函数发起PAM会话时,将对会话函数进行注册。函数原型:

int pam_start(const char *service_name, const char *user, const struct pam_conv *pam_conversation, pam_handle_t **pamh); 

参数const struct pam_conv *pam_conversation即为要注册的会话函数。

1.2 会话函数的实现

下面是sshd服务源码中的会话函数:

  1. static int
  2. sshpam_thread_conv(int n, sshpam_const struct pam_message **msg,
  3.     struct pam_response **resp, void *data)
  4. {
  5.     Buffer buffer;
  6.     struct pam_ctxt *ctxt;
  7.     struct pam_response *reply;
  8.     int i;

  10.     debug3("PAM: %s entering, %d messages", __func__, n);
  11.     *resp = NULL;

  13.     if (data == NULL) {
  14.         error("PAM: conversation function passed a null context");
  15.         return (PAM_CONV_ERR);
  16.     }
  17.     ctxt = data;
  18.     if (n <= 0 || n > PAM_MAX_NUM_MSG)
  19.         return (PAM_CONV_ERR);

  21.     if ((reply = malloc(n * sizeof(*reply))) == NULL)
  22.         return (PAM_CONV_ERR);
  23.     memset(reply, 0, n * sizeof(*reply));

  25.     buffer_init(&buffer);
  26.     for (i = 0; i < n; ++i) {
  27.         
  28.         //会话函数的核心就是下面的代码
  29.         switch (PAM_MSG_MEMBER(msg, i, msg_style)) {
  30.         case PAM_PROMPT_ECHO_OFF:    //用于取得密码,不回显
  31.             buffer_put_cstring(&buffer,
  32.              PAM_MSG_MEMBER(msg, i, msg));
  33.             //终端显示提示,如 Password:
  34.             if (ssh_msg_send(ctxt->pam_csock,
  35.              PAM_MSG_MEMBER(msg, i, msg_style), &buffer) == -1)
  36.                 goto fail;
  37.             //取得密码
  38.             if (ssh_msg_recv(ctxt->pam_csock, &buffer) == -1)
  39.                 goto fail;
  40.             if (buffer_get_char(&buffer) != PAM_AUTHTOK)
  41.                 goto fail;
  42.             //密码存在reply[i].resp中
  43.             reply[i].resp = buffer_get_string(&buffer, NULL);
  44.             break;
  45.         case PAM_PROMPT_ECHO_ON:        //用于取得用户名,回显
  46.             buffer_put_cstring(&buffer,
  47.              PAM_MSG_MEMBER(msg, i, msg));
  48.             //终端显示提示,如 Login:
  49.             if (ssh_msg_send(ctxt->pam_csock,
  50.              PAM_MSG_MEMBER(msg, i, msg_style), &buffer) == -1)
  51.                 goto fail;
  52.             //取得用户名
  53.             if (ssh_msg_recv(ctxt->pam_csock, &buffer) == -1)
  54.                 goto fail;
  55.             if (buffer_get_char(&buffer) != PAM_AUTHTOK)
  56.                 goto fail;
  57.             //用户名存在reply[i].resp中
  58.             reply[i].resp = buffer_get_string(&buffer, NULL);
  59.             break;
  60.         case PAM_ERROR_MSG:        //错误信息显示
  61.             buffer_put_cstring(&buffer,
  62.              PAM_MSG_MEMBER(msg, i, msg));
  63.             if (ssh_msg_send(ctxt->pam_csock,
  64.              PAM_MSG_MEMBER(msg, i, msg_style), &buffer) == -1)
  65.                 goto fail;
  66.             break;
  67.         case PAM_TEXT_INFO:        //信息显示
  68.             buffer_put_cstring(&buffer,
  69.              PAM_MSG_MEMBER(msg, i, msg));
  70.             if (ssh_msg_send(ctxt->pam_csock,
  71.              PAM_MSG_MEMBER(msg, i, msg_style), &buffer) == -1)
  72.                 goto fail;
  73.             break;
  74.         default:
  75.             goto fail;
  76.         }
  77.         buffer_clear(&buffer);
  78.     }
  79.     buffer_free(&buffer);
  80.     *resp = reply;
  81.     return (PAM_SUCCESS);

  83.  fail:
  84.     for(i = 0; i < n; i++) {
  85.         if (reply[i].resp != NULL)
  86.             xfree(reply[i].resp);
  87.     }
  88.     xfree(reply);
  89.     buffer_free(&buffer);
  90.     return (PAM_CONV_ERR);
     }

 

1.3 会话函数的获得

       Pam模块与终端通话,即显示信息,取得用户名、密码,都需要使用会话函数才能完成。

pam模块中,通过下面方法取得会话函数(如sshd服务的会话函数)

       pam_get_item(pamh, PAM_CONV, (const void **) &conversation);

       conversation是包含会话函数的结构体

1.4 会话函数的使用

     上面取得会话函数后,就可以通过会话函数取得密码、用户名,以及显示信息了。

    r 获取用户名:

 

  1.         message.msg = "\nPlease input authen ID: ";
  2.         int retval;
  3.         message.msg_style = PAM_PROMPT_ECHO_ON; //设置回显
  4.         retval = conversation->conv(1, &pmessage, &res, conversation->appdata_ptr);//会话函数
  5.         if (retval != PAM_SUCCESS)
  6.             LOGOUT("pam_conv error %d (%s).", retval, pam_strerror(pamh, retval));
  7.         strcpy(user, res->resp);        //保存用户名

 

r 获取密码:

 

  1.    
  2.         message.msg = "Enter fixed password: ";
  3.         int retval;
  4.         message.msg_style = PAM_PROMPT_ECHO_OFF; //设置不回显
  5.         retval = conversation->conv(1, &pmessage, &res, conversation->appdata_ptr);//会话函数
  6.         if (retval != PAM_SUCCESS)
  7.             LOGOUT("error %d (%s).", retval, pam_strerror(pamh, retval));
  8.         strcpy(passwd, res->resp);

 

 

    pam配置好后,通过telnet登录系统,上面程序的显示结果为:
    Please input authen ID: 

    Enter fixed password:

wzsy
关注
ulimit 命令详解
程序员黄老师的精品课!
02-20 1万+
Linux对于每个用户,系统限制其最大进程数。为提高性能,可以根据设备资源情况,设置各linux 用户的最大进程数 可以用ulimit -a 来显示当前的各种用户进程限制。 下面我把某linux用户的最大进程数设为10000个:     ulimit -u 10240     对于需要做许多 socket 连接并使它们处于打开状态的 Java 应用程序而言,     最好通过使用 ulimit ...
Linux PAM开发示例一:让自己的程序使用PAM认证方式
ljq32的专栏
07-31 3422
不对PAM模块机制做深入讲解,网上一堆文章已经把这个事儿做了,这里仅仅是PAM的实现示例以记录自己的学习过程和成果。 本文仅仅实现一个PAM示例,即一个用户程序通过PAM机制进行密码认证,编写一个用户程序,编写一个pam模块动态库即可完成这个功能。 一。PAM介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修
PAM编程
floatingfly的专栏
12-16 2006
pam编程:         1 头文件:         #include         //提供 misc_conv支持, 编译的时候,要加 -lpam_misc         #include         //用于 客户端程序         #include         #include         // 这两个是编写 pam_modules时用到的.
会话Conversation的概念及其实现方法
ElaineYY714的专栏
11-01 1279
会话Conversation是一种新的信息组织形式,不同于“传统功能”以发件箱\收件箱\草稿箱,等文件夹的方式来组织信息,会话会把上下文相关的“往来”信息组织在一起,以方便用户查看管理。所谓上下文相关是指:若某条信息是对另一条信息的‘回复’,则认为它们是上下文相关的。 Messaging应用的首页就是会话列表页面——ConversationList,它列出了用户所有往来信息,及其未发出的草稿信息
linux pam鉴定令牌错误,Linux PAM make err : undefine yywrap()问题
weixin_29792607的博客
05-13 363
./configure -> okmake -> error[2]pam_conv_l.o: In function `yylex':/usr/local/justin/pam/Linux-PAM-1.6.0/conf/pam_conv1/pam_conv_l.c:843: undefined reference to `yywrap'collect2: ld returne...
PAM从入门到精通(五)
最新发布
phmatthaus的专栏
10-18 373
PAM从入门到精通(五)
一起写PAM(一)
Sunwind的专栏
07-06 4162
开始学着写PAM了,一值期盼在*nix下做些东西,之所以期盼是因为这里没有神秘的窗户纸,前段时间做windows下的安全开发(当然是初级的),也许是信息检索能力的欠缺吧,想找到一些有用的东西是那么艰难,很多时候查找资料花费了好几天最后一两行代码解决了问题.最让我疑惑的是能解决问题
Linux PAM:模块详解与应用示例
3. **session**:管理会话过程,如登录后打开终端、设置环境变量等。 4. **password**:涉及密码管理,如密码修改、重置、过期策略等。 每种模块类型下都有特定的控制标记,用来指示模块的执行逻辑和条件。例如,`...
linux操作系统PAM模块实例
11-06
Linux 操作系统 PAM 模块实例详解 PAM(Pluggable Authentication Modules)是由 Sun 公司提出的一种认证机制,初次集成在 Solaris 系统上。PAM 的出现解决了之前系统验证机制混乱的问题,提供了一套统一的验证机制...
Linux-PAM应用开发者手册:集成与安全指南
- 终止PAM交易:确保在完成认证后清理资源,关闭PAM会话。 - 设置和获取PAM参数:应用程序可以设置用户的属性或获取关于当前会话的信息。 - 错误处理:指南详细列出了PAM错误代码及其含义,以便开发者处理失败...
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2098
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
Linux PAM 验证
Jitwxs
12-06 7639
一、什么是PAM验证 二、PAM层次结构 三、PAM工作原理 四、PAM配置 4.1 PAM配置文件格式 4.2 PAM的模块类型 4.3 PAM的控制标记 4.4 模块路径及模块参数 五、PAM应用程序开发 5.1 预备知识 5.1.1 头文件 5.1.2 struct pam_conv 5.1.3 相关函数 5.2 利用已有的PAM模块编写登陆验证 5.3 自定义PAM模块编写登...
linux程序如何调用pam,Linux-PAM 1.1.2 中文文档 - 3.2. 对应用程序的期望 | Docs4dev
weixin_32380307的博客
05-13 302
3.2.1. 对话功能#include struct pam_message {int msg_style;const char *msg;};struct pam_response {char *resp;int resp_retcode;};struct pam_conv {int (*conv)(int num_msg, const struct pam_message **msg,stru...
R语言 Kmeans聚类、PAM聚类、层次聚类、EM聚类
程志伟的博客
03-10 9832
关注微信公共号:小程在线 关注CSDN博客:程志伟的博客 R版本:3.6.1 Kmeans函数:kmeans聚类 pam函数PAM聚类 hclust函数:层次聚类 cutree函数:层次聚类解 Mclust函数:EM聚类 mclustBIC函数:EM聚类 > ##############对模拟数据的K-Means聚类 > setwd('G:\\R语言\\大三下半年\...
Linux操作系统安全登陆设计与实现
热门推荐
一定要站在自己热爱的生活里闪闪发光
01-13 2万+
本实验使用了VMware来搭建虚拟化环境,在其之上,安装Ubuntu16.04LTS操作系统作为实验平台。 实验设计了一种Linux操作系统的动态登陆验证方式,在常规的密码验证之前先进行动态验证。实验使用向个人邮箱(QQ邮箱)发送实时验证码的方式,来实现动态验证。验证码由6至8位字符组成,字符均从数字、大小写字母、'$'、'@'中随机选取。如果连续3次错误输入验证码,系统会自动重发一个新的验证码到邮箱;验证码的有效时间为3分钟,若验证码超时失效,当用户输入失效验证码后,系统会自动重发新的验证码到邮箱。实.
Linux PAM开发示例二:登录系统时使用自己的PAM模块进行密码认证
ljq32的专栏
07-31 3012
本文仅仅是一个示例,没有多余的说教内容,实现在登录Linux时命令行、图形界面、su等密码认证时使用自己的PAM模块进行密码认证,这个示例不需要编写应用程序,因为系统的登录程序就是应用程序,例如:login、su、lightdm。 1。编写PAM模块动态库 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <security/pam_appl.h> #include &
pam介绍[转]
05-07 615
创建时间:2000-06-08 文章属性:整理 文章来源:原文BY - P H R A C K   M A G A Z I N E -56-13.html 文章提交:xundi (xundi_at_xfocus.org) 介绍PAM BY XUNDI 2000-05-08 本人水平有限,错误在所难免,尽请指教xundi@xfocus.org 原文BY - P H R A C
PAM(4)
Micheal
03-22 1049
有了前面的知识,今天将和大家一起写一个简单的PAM模块 好了废话不说了直接写吧(文件为 pam_test.c) [cpp] view plain copy #define PAM_SM_AUTH   #include    #include    #include    #include    #include       #defi
PAM机制
Micheal
04-18 7066
一.PAM简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式.  换句话说,不用(重新编写和)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制.  这种方式下,就算升级本地认证机制,也不用修改程序.  PAM使用配置文件/etc/pam.conf(或/etc/pam.d/下的文件),来管理对程序的认证
RHEL4版Linux下的PAM认证配置详解
"Linux Pam认证详解" PAM(可插拔认证模块)是Linux系统中用于用户身份验证的一种灵活且强大的机制。它允许管理员根据需要调整和定制认证流程,以适应不同的安全策略和应用需求。在不同的Linux发行版中,PAM的配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值