Xác thực PAM cho Ứng dụng kế thừa

Question

Tôi có một ứng dụng cũ nhận được yêu cầu tên người dùng/mật khẩu không đồng bộ trên dây. Vì tôi đã có tên người dùng và mật khẩu được lưu trữ dưới dạng biến, cách nào là cách tốt nhất để xác thực với PAM trên Linux (Debian 6)?

Tôi đã thử viết chức năng hội thoại của riêng mình, nhưng tôi không chắc chắn cách tốt nhất để nhận mật khẩu vào đó. Tôi đã xem xét việc lưu trữ nó trong appdata và tham khảo từ cấu trúc pam_conv, nhưng hầu như không có tài liệu hướng dẫn về cách thực hiện điều đó.

Có cách nào đơn giản hơn để xác thực người dùng mà không có chức năng cuộc trò chuyện quá mức không? Tôi không thể sử dụng thành công pam_set_data, và tôi không chắc chắn điều đó có phù hợp hay không.

Đây là những gì tôi đang làm:

user = guiMessage->username; 
pass = guiMessage->password; 

pam_handle_t* pamh = NULL; 
int   pam_ret; 
struct pam_conv conv = { 
    my_conv, 
    NULL 
}; 

pam_start("nxs_login", user, &conv, &pamh); 
pam_ret = pam_authenticate(pamh, 0); 

if (pam_ret == PAM_SUCCESS) 
    permissions = 0xff; 

pam_end(pamh, pam_ret); 

Và ban đầu nỗ lực chức năng trò chuyện dẫn đến (mật khẩu được mã hóa cứng để thử nghiệm):

int 
my_conv(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *data) 
{ 
    struct pam_response *aresp; 

    if (num_msg <= 0 || num_msg > PAM_MAX_NUM_MSG) 
    return (PAM_CONV_ERR); 
    if ((aresp = (pam_response*)calloc(num_msg, sizeof *aresp)) == NULL) 
    return (PAM_BUF_ERR); 
    aresp[0].resp_retcode = 0; 
    aresp[0].resp = strdup("mypassword"); 

    *resp = aresp; 
    return (PAM_SUCCESS); 
} 

Bất kỳ trợ giúp sẽ được đánh giá cao. Cảm ơn bạn!

Answer 1

Đây là những gì tôi đã kết thúc. Xem nhận xét được đánh dấu bằng ba dấu hoa thị.

#include <stdlib.h> 
#include <iostream> 
#include <fstream> 
#include <security/pam_appl.h> 
#include <unistd.h> 

// To build this: 
// g++ test.cpp -lpam -o test 

struct pam_response *reply; 

//function used to get user input 
int function_conversation(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *appdata_ptr) 
{ 
    *resp = reply; 
    return PAM_SUCCESS; 
} 

int main(int argc, char** argv) 
{ 
    if(argc != 2) { 
     fprintf(stderr, "Usage: check_user <username>\n"); 
     exit(1); 
    } 
    const char *username; 
    username = argv[1]; 

    const struct pam_conv local_conversation = { function_conversation, NULL }; 
    pam_handle_t *local_auth_handle = NULL; // this gets set by pam_start 

    int retval; 

    // local_auth_handle gets set based on the service 
    retval = pam_start("common-auth", username, &local_conversation, &local_auth_handle); 

    if (retval != PAM_SUCCESS) 
    { 
    std::cout << "pam_start returned " << retval << std::endl; 
    exit(retval); 
    } 

    reply = (struct pam_response *)malloc(sizeof(struct pam_response)); 

    // *** Get the password by any method, or maybe it was passed into this function. 
    reply[0].resp = getpass("Password: "); 
    reply[0].resp_retcode = 0; 

    retval = pam_authenticate(local_auth_handle, 0); 

    if (retval != PAM_SUCCESS) 
    { 
    if (retval == PAM_AUTH_ERR) 
    { 
     std::cout << "Authentication failure." << std::endl; 
    } 
    else 
    { 
     std::cout << "pam_authenticate returned " << retval << std::endl; 
    } 
    exit(retval); 
    } 

    std::cout << "Authenticated." << std::endl; 

    retval = pam_end(local_auth_handle, retval); 

    if (retval != PAM_SUCCESS) 
    { 
    std::cout << "pam_end returned " << retval << std::endl; 
    exit(retval); 
    } 

    return retval; 
} 

Answer 2

Cách thông tin tiêu chuẩn (chẳng hạn như mật khẩu) được truyền cho PAM là bằng cách sử dụng các biến đặt trong tay cầm pam với pam_set_item (xem man page của pam_set_item).

Bạn có thể đặt bất kỳ thứ gì mà ứng dụng của bạn sẽ cần sử dụng sau này vào pam_stack. Nếu bạn muốn đặt mật khẩu vào pam_stack bạn sẽ có thể để làm điều đó ngay lập tức sau khi gọi pam_start() bằng cách thiết lập các biến PAM_AUTHTOK vào ngăn xếp tương tự như mã giả dưới đây:

pam_handle_t* handle = NULL; 
pam_start("common-auth", username, NULL, &handle); 
pam_set_item(handle, PAM_AUTHTOK, password); 

này sẽ làm cho mật khẩu có sẵn trên ngăn xếp cho bất kỳ mô-đun nào quan tâm để sử dụng nó, nhưng thông thường bạn phải yêu cầu mô-đun sử dụng nó bằng cách đặt các tùy chọn use_first_pass hoặc try_first_pass chuẩn trong pam_configuration cho dịch vụ (trong trường hợp này là /etc/pam.d/ chung-auth).

Mô-đun pam_unix chuẩn hỗ trợ try_first_pass, do đó, sẽ không gây tổn thương khi thêm mô-đun vào cấu hình pam trên hệ thống của bạn (ở cuối dòng cho pam_unix).

Sau khi bạn thực hiện cuộc gọi này đến pam_authenticate() được gọi từ dịch vụ chung-auth, bạn chỉ cần chọn mật khẩu và tiếp tục với nó.

Một lưu ý nhỏ về sự khác nhau giữa use_first_pass và try_first_pass: Cả hai đều yêu cầu mô-đun (trong trường hợp này pam_unix) thử mật khẩu trên pam_stack, nhưng chúng khác nhau về hành vi khi không có mật khẩu/AUTHTOK. Trong trường hợp thiếu use_first_pass không thành công và try_first_pass cho phép mô-đun nhắc nhập mật khẩu.

Answer 3

Giải pháp Fantius 'có hiệu quả đối với tôi, thậm chí là gốc.

Ban đầu tôi chọn giải pháp của John vì nó sạch hơn và sử dụng biến PAM không có chức năng trò chuyện (thực sự, không cần thiết ở đây), nhưng không, và sẽ không hoạt động. Như Adam Badura ám chỉ trong cả hai bài viết, PAM có một số kiểm tra nội bộ để ngăn chặn thiết lập trực tiếp của PAM_AUTHTOK.

Giải pháp của John sẽ dẫn đến hành vi tương tự như được đề cập here, trong đó bất kỳ giá trị mật khẩu nào sẽ được phép đăng nhập (ngay cả khi bạn khai báo, nhưng không xác định, biến pam_conv).

Tôi cũng khuyên người dùng nên biết vị trí của malloc, vì nó có khả năng sẽ khác trong ứng dụng của bạn (hãy nhớ, mã ở trên có nhiều thử nghiệm/mẫu hơn bất kỳ thứ gì khác).