接前一篇文章:PAM从入门到精通(三)
本文参考:
《The Linux-PAM Application Developers' Guide》
先再来重温一下PAM系统架构:
更加形象的形式:
五、主要函数详解
1. pam_start
概述:
PAM事务初始化。
详细描述:
pam_start函数创建PAM上下文并启动PAM事务。它是应用程序需要调用的第一个PAM函数。事务状态完全包含在此句柄标识的结构中,因此可以并行处理多个事务。但是不可能对不同的事务使用相同的句柄,每个新的上下文都需要一个新的句柄。
函数声明:
#include <security/pam_appl.h>int pam_start ( service_name , user , pam_conversation , pamh );const char * service_name ;const char * user ;const struct pam_conv * pam_conversation ;pam_handle_t ** pamh ;
参数说明:
- const char *service_name
service_name参数指定要应用的服务的名称,并将作为PAM_SEVICE项存储在新上下文中。服务的策略将从文件/etc/pam.d/service_name中读取,如果该文件不存在,则从/etc/pam.conf中读取。如:passwd(/etc/pam.d/passwd)、useradd(/etc/pam.d/useradd)等。
- const char *user
user参数可以指定目标用户的名称,并将存储为PAM_USER项。如果参数为NULL,则模块必须在必要时询问此项。
- const struct pam_conv *pam_conversation
pam_conversation参数指向描述要使用的会话函数的结构pam_conv。应用程序必须为加载的模块与应用程序之间的直接通信提供此功能。
- pam_handle_t **path
在成功返回(PAM_SUCCESS)之后,pamh的内容是一个句柄,它包含对PAM函数的连续调用的PAM上下文。在错误情况下,pamh的内容未定义。
pam_handle_t是一个盲结构,应用程序不应试图直接探测其信息。而是应该通过PAM库提供的函数pam_set_item和pam_get_item。PAM句柄不能同时用于多个身份验证,只要以前没有对其调用pam_end函数。
返回值:
- PAM_ABORT:一般错误。
- PAM_BUF_ERR:内存缓冲区错误。
- PAM_SUCCESS:事务已成功创建。
- PAM_SYSTEM_ERR:系统错误,例如提交了一个NULL指针而非指向数据的指针。
实例:
实例1. 一般性代码
/* 初始化,并提供一个回调函数 */
if ((pam_start("login", user_name, &pam_conv, &pamh)) != PAM_SUCCESS)
exit(1);
实例2. sddm中的代码
参见sddm包源码目录src/helper/backend/PamHandle.cpp中的PamHandle::start函数。
代码如下:
bool PamHandle::start(const QString &service, const QString &user) {
if (user.isEmpty())
m_result = pam_start(qPrintable(service), NULL, &m_conv, &m_handle);
else
m_result = pam_start(qPrintable(service), qPrintable(user), &m_conv, &m_handle);
if (m_result != PAM_SUCCESS) {
qWarning() << "[PAM] start" << pam_strerror(m_handle, m_result);
return false;
}
else {
qDebug() << "[PAM] Starting...";
}
return true;
}2. pam_end
概述:
PAM事务终止。
详细描述:
pam_end函数终止pam事务,是应用程序应在pam上下文中调用的最后一个函数。此函数为与pam_set_item和pam_get_item函数关联的项释放了所有内存。调用pam_end()后,与此类对象关联的指针不再有效。
函数声明:
#include <security/pam_appl.h>
int pam_end ( pamh , pam_status );pam_handle_t * pamh ;int pam_status ;
参数说明:
- pam_handle_t *pamh
返回后,句柄pamh不再有效,并且与之相关的所有内存都将无效。
- int pam_status
pam_status参数应设置为上次PAM库调用返回给应用程序的值。
pam_status获取的值用作模块特定回调函数cleanup的参数(参见pam_set_data()和pam_get_data())。通过这种方式,可以向模块发出拆除过程的通过/失败性质的通知,并在模块被取消链接之前执行适合模块的任何最后一分钟任务。
此参数可以与PAM_DATA_SILENT进行逻辑“或”运算,以指示模块不应过于认真地对待调用。它通常用于指示库的当前关闭处于分支进程中,并且父进程将负责清理当前进程空间之外的内容(如文件等)。
返回值:
- PAM_SUCCESS:事务已成功创建。
- PAM_SYSTEM_ERR:系统错误,例如一个NULL指针作为PAM句柄提交,或者函数被模块调用。
实例:
实例1. 一般性代码
pam_end(pamh, PAM_SUCCESS); /* PAM事务的结束 */实例2. sddm中的代码
参见sddm包源码目录src/helper/backend/PamHandle.cpp中的PamHandle::end函数。
代码如下:
bool PamHandle::end(int flags) {
if (!m_handle)
return false;
m_result = pam_end(m_handle, m_result | flags);
if (m_result != PAM_SUCCESS) {
qWarning() << "[PAM] end:" << pam_strerror(m_handle, m_result);
return false;
}
else {
qDebug() << "[PAM] Ended.";
}
m_handle = NULL;
return true;
}
更多函数请看后续文章。
