问题标签 [pam]

Let us say for my application APP , I have added a file in /etc/pam.d/APP and in APP I have defined the following:

In case of a conversation failure in method1 , how to return without calling pam_sm_authenticate in method2 and method3.

Thanks

-SomaSekhar

我已经安装了 libpam0g-dev libpam0g

但是当我链接到 libpam 时，我收到错误 undefined reference to `pam_start' 并且我的链接器标志包括 -lpam。

相同的代码在 Ubuntu 11 中运行。

链接标志

不工作

但这有效

Linux-PAM 和内核有什么关系？Linux-PAM 是内核的一部分吗？

当我使用sudo,tty时，这种身份验证是否在内核空间中完成？

谁能告诉我这个错误是什么意思。什么时候会出现。我尝试谷歌搜索，但没有结果。请指出正确的文档以了解此错误。

我有用 C 编写的程序。它需要 2 个参数用户名/密码并尝试使用 PAM 验证该用户。当我是 root 时它工作正常。当我是“普通”用户时，它适用于该用户，但不适用于另一个用户。我认为，这是由于使用影子密码..

作为我正在使用的服务：

我将此添加到 /etc/pam.d/test

请问你能帮帮我吗？非常感谢！

I would like to authenticate users of my C network application with PAM and I have a found a nice PAM example here on Stack, which I attach at the bottom. The problem is that in my development machine I have a fingerprint reader which PAM is set up to use, as in /etc/pam.d/common-auth:

pam_fprint.so is the fingerprint reader plugin. When you normally log in, the scan can fail and you are prompted for a password. However, sshd daemon does not initiate the fingerprint at all and I would like to understand how it skips it, because for example /etc/pam.d/sshd references the common-auth module so it must pull it ..

I have tried to reference the 'sshd' scheme from the C program but it still initiates the fingerprint reader. I want to skip the fingerprint reader somehow in C and retain my fingerprint reader default config.

尝试从 pam.d 目录中取消注释 pam_limits.so 但没有运气。基本 PAM 似乎已安装，因为 /usr/lib 中存在 libpam

这是limits.conf的未注释部分

我正在研究如何将 PAM 模块设计为我自己的 JAAS LoginModule 的指南。令我惊讶的一件事是，尽管用于访问散列密码的方法大多与散列方法本身正交，但我无法找到任何可以充分利用此属性的 PAM 模块。是因为我忽略了一些安全问题，还是只是一些尚未探索的问题？

为了进一步解释我的意思，假设我们有 3 种不同的方法来访问散列密码（LDAP、SQL、普通文件）和 2 种散列方法（MD5、SHA1）。目前，每种访问方法都有一个或多个 PAM 模块，每个模块都实现一种或多种这些散列方法。添加新的哈希方法（比如 BCrypt）意味着所有这些访问方法都需要修改以支持新的哈希类型。更好的设计是为每种访问方法使用一个 PAM 模块，使用用户名简单地检索散列密码，然后使用一组单独的 PAM 模块进行散列验证，并在模块之间共享散列值（如密码是）。因此，如果我使用数据库存储密码，并使用 MD5 验证密码，我的配置将如下所示：

在此配置中，pam_sql 从数据库中检索散列密码（如果用户名不存在，则失败）。然后 pam_md5 将散列密码与要测试的密码进行比较，如果不匹配则失败。在使用 Bcrypt 的不同配置中，我只需将 pam_md5 替换为 pam_bcrypt，而无需等待 pam_sql 的开发人员将其更新为新的哈希方法。

我有一个“简单”的问题：如何在 PHP 脚本中安全地更改用户密码，而不授予 Apache root 权限或引入其他疯狂的安全漏洞？

背景：CentOS 6、Apache 2.2.13、PHP 5.3.3

我知道 pam_chpasswd() 命令，它是 PECL PAM 库的一部分。但是，除非主机进程 (httpd) 具有对 /etc/shadow 文件的读取权限，否则此功能会失败。（坏主意！如果它需要如此高的权限，不知道这个库有什么帮助......）

就我所见，理想的情况是让 PHP 使用 'sudo -u[username of user changed his password]' 调用 shell 脚本，这将运行脚本“AS”用户，所以他应该有权更改自己的密码。并且 sudo 将要求用户发送他现有的密码以便进行身份验证，从而防止一个用户更改另一个用户的密码。

但这由于某种原因不起作用......当使用 popen 打开进程时，该进程永远不会执行。我设置了 shell 脚本以将一些文本转储到 /tmp 中的一个可公开写入的文件中。但它永远不会到那个地步。

如果我访问这个 php 脚本（http://server/script.php），该函数立即失败，并且 $result = 1

如果我修改 sudoers 文件 (visudo) 并添加一行：
$Defaults:apache !requiretty

脚本冻结大约 10 秒，然后失败 ($result = 1)

任何这样做的建议都非常感谢！

我正在尝试将用户添加到 Berkeley db 数据库中以进行 vsftpd 的 PAM 身份验证。该数据库最初是由 db_load 实用程序从用户名和密码的文本文件创建的。

这些用户的 PAM 身份验证工作正常。我编写了将用户添加到该数据库的 c++ 应用程序。

操作成功通过，但 PAM 无法识别新添加的用户。我检查了数据库的内容，发现最初添加的数据与我的应用程序添加的数据不同：它包含一些在用户名和密码后面尾随的二进制数据。PAM db 数据格式是什么？如何解决问题？

这是添加新主菜之前的 db_dump 输出

在添加了“user5”和“pass5”的新主菜之后