好的,所以我正在为新站点开发一个小的临时欢迎登录页面。如果愿意,公众访问者可以选择提交他们的电子邮件地址。但我还想为开发人员添加一个用户/密码登录,以便在当前开发阶段查看完整的站点。开发人员在本地 LAMP 系统上各有一个用户/通行证。
现在,我想确定一个开发人员,而不是在适当的网站用户系统之上创建两个单独的用户系统,以便快速检查该用户是否可以使用本地系统登录。if(pam_auth($_POST["u"], $_POST["p"])) 正是这样做的。简单,不错。
但后来我发现你需要允许 apache 用户访问 */security/pam_passwd 文件(或者稍微好一点:pam_tally*)。这样做会造成安全漏洞。
我想知道其他开发人员从 PHP(+apache) 验证用户并通过本地 LAMP 安全系统进行了哪些操作?这是唯一的方法,还是有其他选择?有更好的建议吗?
最好的答案不一定是代码,而更多的是库名称的建议或指向其他解决方案描述的链接。
我发现有人使用 libpam API 组合了这个实现。
c实现
C 实现的摘录 - pam.c
#include <security/pam_appl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
struct pam_response *reply;
int null_conv(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *appdata_ptr) {
*resp = reply;
return PAM_SUCCESS;
}
static struct pam_conv conv = { null_conv, NULL };
int main(int argc, char *argv[]) {
int retval;
char *user, *pass;
if(argc == 3) {
user = argv[1];
pass = strdup(argv[2]);
} else {
fprintf(stderr, "Usage: login [username] [password]\n");
exit(1);
}
return authenticate("system-auth", user, pass);
}
int authenticate(char *service, char *user, char *pass) {
pam_handle_t *pamh = NULL;
int retval = pam_start(service, user, &conv, &pamh);
if (retval == PAM_SUCCESS) {
reply = (struct pam_response *)malloc(sizeof(struct pam_response));
reply[0].resp = pass;
reply[0].resp_retcode = 0;
retval = pam_authenticate(pamh, 0);
if (retval == PAM_SUCCESS)
fprintf(stdout, "Authenticated\n");
else
fprintf(stdout, "Not Authenticated\n");
pam_end(pamh, PAM_SUCCESS);
return ( retval == PAM_SUCCESS ? 0:1 );
}
return ( retval == PAM_SUCCESS ? 0:1 );
编译它的命令
$ gcc -g -lpam -o chkpasswd pam.c
示例运行
$ ./chkpasswd myusername mypassword
我想只要稍加努力,这种方法就可以适应 PHP 中的需求。
PHP 实现
作为这种方法的另一种替代方法,您可能会在 PHP 中推出自己的方法。我在 PECL 网站上找到了这个 PAM 库,看起来像你想要的。
我还要看看 Moodle 项目是如何做到的。在这里讨论。
应该有对库的良好可访问性,以便进行必要的调用以通过网络访问诸如 LDAP 之类的东西来为您进行身份验证。LDAP 服务器也可以安装在与 Horde 安装相同的系统上,将其配置为仅供 Horde 使用。
这将使您能够访问底层系统的身份验证,可能是通过将其“包装”在 LDAP 服务中以供您的 PHP 调用使用。