接前一篇文章：PAM从入门到精通（十六）

本文参考：

《The Linux-PAM Application Developers' Guide》

PAM 的应用开发和内部实现源码分析

先再来重温一下PAM系统架构：

更加形象的形式：

六、整体流程示例

2. 更为完整的例程及解析

上一回讲解了更为详细复杂例程的第一部分，本文继续讲解其余部分。再来贴一下完整代码：

/* 使用PAM所必需的两个头文件*/
#include <security/pam_appl.h>
#include <security/pam_misc.h>

static struct pam_conv conv = {
    misc_conv,
    NULL
}

void main(int argc, char *argv[], char **renvp)
{
    pam_handle_t *pamh = NULL;
    int status;

    /* 初始化，并提供一个回调函数 */
    if ((pam_start("login", user_name, &conv, &pamh)) != PAM_SUCCESS)
        exit(1);

    /* 设置一些关于认证用户信息的参数 */
    pam_set_item(pamh, PAM_TTY, ttyn);
    pam_set_item(pamh, PAM_RHOST, remote_host);
    while (!authenticated && retry < MAX_RETRIES)
    {
        status = pam_authenticate(pamh, 0);/* 认证，检查用户输入的密码是否正确 */
    }
    /* 认证失败则应用程序退出*/
    if (status != PAM_SUCCESS)
    {
      	……
        exit(1);
    }

    /*  通过了密码认证之后再调用帐号管理API，检查用户帐号是否已经过期 */
    if ((status = pam_acct_mgmt(pamh, 0)) != PAM_SUCCESS)
    {
        if (status == PAM_AUTHTOK_EXPIRED)
        {
            status = pam_chauthtok(pamh, 0);  /* 过期则要求用户更改密码 */
            if (status != PAM_SUCCESS)
                exit(1);
        }
    }
    /* 通过帐户管理检查之后则打开会话 */
    if (status = pam_open_session(pamh, 0) != PAM_SUCCESS)
        exit(status);
	……
    /* 建立认证服务的用户证书*/
    status = pam_setcred(pamh, PAM_ESTABLISH_CRED);
    if (status != PAM_SUCCESS)
       exit(status);
   	……
    pam_end(pamh, PAM_SUCCESS);  /* PAM事务的结束 */
    ……
 }

（2）pam_set_item函数

代码片段：

    /* 设置一些关于认证用户信息的参数 */
    pam_set_item(pamh, PAM_TTY, ttyn);
    pam_set_item(pamh, PAM_RHOST, remote_host);

作用：

设置PAM项。pam_set_item函数允许应用程序和PAM服务模块访问和更新item_type的PAM信息。为此，将创建项参数指向的对象的副本。

参数详解：

• pam_handle_t *pamh

pamh参数是通过先前调用pam_start()获得的身份验证句柄。

此处传给pamh的实参为main函数中定义的pam_handle_t *pamh的地址&pamh。

• int item_type

支持以下item_types：

•         PAM_SERVICE

服务名称（标识PAM函数将用于验证程序的PAM堆栈）。

•         PAM_USER

将使用其提供身份服务的实体的用户名。也就是说，在身份验证之后，PAM_USER标识可以使用该服务的本地实体。

注意，PAM堆栈中的任何模块都可以将该值从某个事物（例如，“匿名”）映射到其它事物（例如“guest119”）。

•         PAM_USER_PROMPT

提示输入用户名时使用的字符串。此字符串的默认值是“login:”的本地化版本。

•         PAM_TTY

终端名称：如果是设备文件，则前缀为/dev/；对于图形化的、基于X的应用程序，该项的值应该是$DISPLAY变量。

•         PAM_RUSER

请求用户名：本地请求用户的本地名称或远程请求用户的远程用户名。

通常，应用程序或模块会尝试提供经过最强身份验证的值（在远程帐户之前是本地帐户）。该值的信任级别体现在与应用程序相关联的实际身份验证堆栈中，因此最终由系统管理员决定。

PAM_RUSER@PAM_RHOST应始终识别请求用户。在某些情况下，PAM_RUSER可能为NULL。在此种情况下，不清楚提出请求的实体是谁。

•         PAM_RHOST

请求主机名（PAM_RUSER实体请求服务的机器的主机名）。这就是PAM_RUSER@PAM_RHOST确实标识了请求用户。在某些应用程序中，PAM_RHOST可能为NULL。在这种情况下，不清楚身份验证请求的来源。

•         PAM_AUTHOK

身份验证令牌（通常是密码）。除了pam_sm_authenticate()和pam_sm_chauthtok()之外，所有模块函数都应该忽略此令牌。在前一个函数中，它用于将最新的身份验证令牌从一个堆叠的模块传递到另一个模块。在后一个函数中，令牌用于另一个目的。它包含当前活动的身份验证令牌。

•         PAM_OLDAUTHOK

旧的身份验证令牌。除pam_sm_chauthtok()外，所有模块函数都应忽略此令牌。

•         PAM_CONV

pam_conv结构。参见pam_conv。

以下附加项目是特定于Linux PAM的，不应在可移植应用程序中使用：

•         PAM_FAIL_DELAY

用于重定向集中管理的故障延迟的函数指针。参见pam_fail_delay。

•         PAM_XDISPLAY

X display的名称。对于图形化的、基于X的应用程序，该项的值应该是$DISPLAY变量。该值可以独立于PAM_TTY用于传递display的名称。

•         PAM_XAUTHDATA

指向一个结构的指针，该结构包含连接到PAM_XDISPLAY指定的显示器所需的X身份验证数据（如果需要此类信息）。参见pam_xauth_data。

•         PAM_AUTHOK_TYPE

默认操作是模块在请求密码时使用以下提示：“New UNIX password:”和“Retype UNIX password：”。示例单词UNIX可以替换为此项，默认情况下为空。此项目由pam_get_authtok使用。

此处传给item_type的实参分别为PAM_TTY和PAM_RHOST，分别表示请求终端名称和请求主机名。

• const void *item

对于除PAM_CONV和PAM_FAIL_DELAY之外的所有item_type，item都是指向以<NULL>为结束符的字符串的指针。在PAM_CONV的情况下，item指向初始化的PAM_CONV结构。在PAM_FAIL_DELAY的情况下，item是函数指针：void（*DELAY_fn）（int retval，unsigned usec_DELAY，void*appdata_ptr）。

PAM_AUTHTOK和PAM_OLDAUTHTOK都将在返回应用程序之前重新设定种子。这意味着应用程序无法访问身份验证令牌。

此处传给item的实参分别为ttyn和remote_host，分别表示请求终端名称和请求主机名。

更多讲解请看下回。