PAM的原理与应用

1.1 PAM的必要性

我们知道，Linux系统中的身份认证方式是多种多样的。一般来说，可以分为服务程序身份认证和专门系统身份认证。其中，服务程序身份认证包括：login服务程序、ftp服务程序，telnet服务程序、ssh服务程序等；专门系统身份认证包括：传统UNIX认证、NIS认证、NIS+认证、Kerberos认证等。

如此众多的身份认证方式存在于同一个系统当中，将难免带来众多的问题，我们可以将其划分为管理问题和安全问题。管理问题是指：我们需要能够保证众多的身份认证方式不能冲突，并且可以很好的协同工作。此外，由于不同的系统认证方式采用不同的算法和机制，并且每个系统认证方式还可能包含多个版本（如Kerberos4.5，Kerberos5等）。假如由于某种原因我们需要更换系统认证方式，那么我们需要如何做呢？传统方式当然是，卸载然后重新安装，甚至需要修改源程序代码重新编译。安全问题是指：比如一台服务器开着FTP、SMTP、SSH等服务，那么新建一个用户默认就享有对以上的服务的操作权限，那么如果一个用户的帐号密码泄露会涉及到多个服务。这将是我们不希望看到的。

如何对上述问题进行改进，将是势在必行的。在这种背景下，PAM认证方式应运而生并很好地解决了上述的问题。

1.2 揭开PAM的神秘面纱

PAM最大的特点是实现了服务程序和认证机制的分离，它采用模块化设计和插件功能，使得我们可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件,而不必对应用程序做任何修改，从而使软件的定制、维持和升级更加轻松--因为鉴别机制与应用程序之间相对独立。

应用程序可以通过 PAM API 方便的使用 PAM 提供的各种鉴别功能，而不必了解太多的底层细节；PAM服务模块的开发者还可以通过PAM提供的SPI来编写认证模块。此外，PAM的易用性也较强，主要表现在它对上层屏蔽了认证的具体细节，所以用户不必被迫学习各种各样的认证方式，也不必记住多个口令；又由于它实现了多鉴别机制的集成管理，所以单个程序可以非常容易地使用多种鉴别机制如Kerberos认证和NIS认证机制等，但用户仍可以用同一个口令登录。在这个过程中用户根本感觉不到系统采取了何种认证方法。

其基本思想如下图所示：

图1-1：PAM基本思想

PAM系统正像上图所描述的那样，将不同的认证方式统一地管理起来。并且各种认证方式可以方便地“插拔”到PAM系统中。

二、PAM工作原理

2.1 PAM工作原理

PAM系统在文件上，主要包括PAM核心库文件、PAM配置文件和PAM服务模块。其中，PAM核心库文件位于“/usr/lib/libpam.so”；PAM配置文件包括“/etc/pam.conf”和“/etc/pam.d/*”；PAM服务模块（PAM Service Module）包括“/usr/lib/security/pam_*.so”。

那么PAM系统的组成文档与图1-1所描述的PAM基本思想有什么样的关系呢？其核心机制如下图2-1所示：

图2-1：PAM运行机制

1）系统管理员通过PAM配置文件来指定认证策略，即指定什么服务该采用何种认证方法；

2）应用程序开发者通过在服务程序中使用PAM API来实现对认证方式的调用；

3）PAM服务模块开发者利用PAM SPI来编写认证模块，将不同的认证机制加入到系统当中。实际上，NIS、Kerberos等系统所提供的认证方式就是这种情况；

4）PAM核心库（libpam）读取配置文件，以此为根据江服务程序和相应的认证方法联系起来。

概括地说，PAM认证一般遵循这样的顺序：服务→PAM配置文件→PAM服务模块。PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件（/etc/pam.conf或/etc/pam.d/[service]），最后调用PAM服务模块（/lib/security/pam_*.so）进行安全认证。这期间，可能需要用户来参与其中的某一个或某些过程，例如输入密码、配置信息等。

2.2 PAM的配置

对PAM的配置，需要借助于PAM的配置文档。PAM的配置指的是，用户通过对PAM配置文档的修改使得PAM实现某种认证机制。PAM的配置文档包括“/etc/pam.conf”和“/etc/pam.d/”下的一组文件。PAM的配置包括两种方式，一种是对“pam.conf”文件的修改，另一种是对“/etc/pam.d/”目录下对应文件的修改。下面将分别对其配置方式进行分别介绍。

q  “pam.conf”配置详解

这种配置方式的语法如下所示：

pam.conf文件中每一行的格式如上所示，一条这样的行规定的是某一个或一类的认证方式。pam.conf正是由此种格式的行所组成的认证方式的集合。

1）service-name（服务名称）指的是所要设定的认证方式所对应的服务名称，例如telnet、ftp、login等。其中服务名称“OTHER”代表所有没有在该配置文件中明确设置的其它服务。

2）module-type（模块类型）所提供的模块类型有四种：auth、account、session和password，即对应PAM所支持的四种管理方式，认证管理、账户管理、会话管理和密码管理。同一个服务（service-name）可以调用多个PAM模块进行认证，这些模块构成一个堆栈。

3）control-flag（控制标记）可以支持四种控制标记，分别为：requisite、required、sufficient和optional。控制标记用来告诉PAM库该如何处理与该服务相关的认证成功或失败情况。

required 表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一堆栈中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。

requisite 与required类似，该模块必须返回成功才能通过认证。二者不同之处在于，一旦该模块返回失败，将不再执行同一stack内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件。

sufficient 表明本模块返回成功已经足以通过身份认证的要求，不必再执行同一堆栈内的其它模块，但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。

optional表明本模块是可选的，它的成功与否一般不会对身份认证起关键作用。它的执行结果不影响其他命令的执行，也不影响PAM报告的结果，其返回值一般被忽略。

4）module-path（模块路径）代表PAM验证模块的路径。如果以“/”开头，就表示是完整的路径；如果不是以“/”打头，就表示是相对于“/usr/lib/security”的相对路径。

5）arguments（参数）表示传递给模块的参数，此部分为可选项，如果不需要传递任何参数则可以忽略此项。其中参数的可选格式如下表2-1所示：

表2-1：arguments可选参数

了解完语法之后，下面我们来看一个例子。假如我们想要对ssh的进行认证管理，那么我们需要对服务对应的“module-type”设置为“auth”。如下代码清单2-1所示：

代码清单2-1：ssh认证配置

从第一列和第二列可以看出此配置针对的是ssh的认证服务。第一行表示，设置环境变量，此项是必须的，也就是说必须设置成功才表明此认证成功。第二行表示提供标准的UNIX认证，如果认证失败，则忽略此项，继续执行堆栈内的下一条认证；如果成功，则认证结束。第三行表示，加入上述认证失败，则拒绝进入系统，返回认证失败标识。

q  “pam.d/*”配置详解

首先我们先来看一下pam.d目录下包含哪些文件，如图2-2所示：

图2-2：“pam.d”目录下文件

此种配置方法与上一中基本类似，其语法为：

与上一中配置方法的语法相比，此种配置方法语法缺少了“service-name”部分，那么如何为某种服务指定其配置方法呢？从图2-2中可以看出，此种配置方法的服务名称即为每个文件的名称，加入需要为“login”服务设置认证方式，那么只需要在此目录下创建“login”文件，并对其进行设置即可。词语法中的各个字段配置方法与“pam.conf”完全相同。需要注意的是，此种配置方法的优先级要比上一中配置方法的优先级要高。比如，在“pam.d”目录下配置了“login”服务，那么它将覆盖掉“pam.conf”中对“login”服务的设置。

2.3 PAM服务模块详解

       我们已经知道，PAM认证的最后一步需要调用PAM服务模块（PAM service module）进行实际的认证。首先，我们来看一下