c - PAM 的不同访问级别

Question

目前我有一个图形应用程序，有两个级别的访问权限:运算符(operator)和管理员。登录和身份验证都是自制的，我想将应用程序切换为使用 PAM。我不确定正确的方法是什么。

如果我错了，请纠正我，但 PAM 似乎可以归结为"is"或“否”检查 - 是的，您可以访问此服务，否则，您不能。没有根据登录的用户提供不同级别的访问权限。不过，我需要能够区分谁是运算符(operator)、谁是管理员，并且如果可能的话，我希望能够严格通过 PAM 来做到这一点。

所以我的想法是，我会设置具有两种不同配置的两个服务，/etc/pam.d/pamdemo 用于运算符(operator)和 /etc/pam.d/pamdemo-admin 用于管理员。然后，我的应用程序将首先尝试对 pamdemo-admin 进行身份验证，如果失败，则再对 pamdemo 进行身份验证。如果两者都失败，则访问被拒绝。 我是在正确的轨道上还是完全偏离轨道？

这是我编写的一些示例 C 代码作为概念证明。当我登录时，我不想两次提示用户输入凭据。我已经得到它，因此它会记住两个 pam_start() 调用的用户名，但我无法从应用程序级别访问 pam_get_item(PAM_AUTHTOK) 来执行相同的缓存密码。正是在尝试这样做的过程中，我意识到可能有一种完全不同的方法来做到这一点。 我希望这个应用程序能够工作，无论采用什么身份验证方法，无论是用户名/密码、Kerberos 票证还是指纹，等等。

pam_handle_t *try_login(const char *service, int *retval)
{
    static char *   username = NULL;
    struct pam_conv pam_conversation = { conv, NULL };
    pam_handle_t *  pamh;

    *retval = pam_start(service, username, &pam_conversation, &pamh);

    if (*retval == PAM_SUCCESS) *retval = pam_authenticate(pamh, 0);
    if (*retval == PAM_SUCCESS) *retval = pam_acct_mgmt   (pamh, 0);
    if (*retval == PAM_SUCCESS) *retval = pam_open_session(pamh, 0);

    if (username == NULL) {
        if (pam_get_item(pamh, PAM_USER, (const void **) &username) == PAM_SUCCESS) {
            username = strdup(username);
        }
    }

    if (*retval != PAM_SUCCESS) {
        fprintf(stderr, "%s: %s\n", service, pam_strerror(pamh, *retval));
        pam_end(pamh, *retval);
        pamh = NULL;
    }

    return pamh;
}

int main(void)
{
    pam_handle_t *pamh = NULL;
    int retval;
    const char *service, *username;

    if (!pamh) pamh = try_login("pamdemo-admin", &retval);
    if (!pamh) pamh = try_login("pamdemo",       &retval);

    if (!pamh) {
        fprintf(stderr, "Access denied.\n");
        return 1;
    }

    pam_get_item(pamh, PAM_SERVICE, (const void **) &service);
    pam_get_item(pamh, PAM_USER,    (const void **) &username);

    printf("Logged into %s as %s.\n", service, username);

    pam_close_session(pamh, 0);
    pam_end          (pamh, retval);

    return 0;
}

正如所写，此演示程序重复“密码:”提示。我不想让它问两次!

Answer 1

我相信一种正确的方法可能是:

• 设置“pamdemo”服务来执行帐户、身份验证和 session 功能。
• 将“pamdemo-admin”服务设置为仅执行帐户(可能还有 session )功能。没有身份验证。
• 登录时，首先让他们通过“pamdemo”(以确保他们的真实身份) - 如果失败，请将他们踢出。
• 然后，经过身份验证后，将它们交给“pamdemo-admin”。这只是检查他们是否被允许成为管理员 - 如果是，则此检查成功，如果不是，则不会。由于此检查不执行身份验证模块，因此不会再次提示他们输入密码。