GNU/Linux >> Tutoriels Linux >  >> Linux

Authentification PAM pour une application héritée

La façon dont les informations standard (telles qu'un mot de passe) sont transmises pour PAM consiste à utiliser des variables définies dans le descripteur pam avec pam_set_item (voir la page de manuel pour pam_set_item).

Vous pouvez définir tout ce que votre application devra utiliser plus tard dans pam_stack. Si vous souhaitez mettre le mot de passe dans pam_stack, vous devriez pouvoir le faire immédiatement après avoir appelé pam_start() en définissant la variable PAM_AUTHTOK dans la pile similaire au pseudo-code ci-dessous :

pam_handle_t* handle = NULL;
pam_start("common-auth", username, NULL, &handle);
pam_set_item( handle, PAM_AUTHTOK, password);

Cela rendra le mot de passe disponible sur la pile pour tout module qui souhaite l'utiliser, mais vous devez généralement dire au module de l'utiliser en définissant les options standard use_first_pass ou try_first_pass dans pam_configuration pour le service (dans ce cas /etc /pam.d/common-auth).

Le module pam_unix standard prend en charge try_first_pass, donc cela ne ferait pas de mal de l'ajouter à votre configuration pam sur votre système (à la fin de la ligne pour pam_unix).

Après cela, tout appel à pam_authenticate() qui sont invoquées à partir du service d'authentification commune doivent simplement saisir le mot de passe et l'utiliser.

Une petite remarque sur la différence entre use_first_pass et try_first_pass :ils indiquent tous deux au module (dans ce cas pam_unix) d'essayer le mot de passe sur pam_stack, mais leur comportement diffère lorsqu'il n'y a pas de mot de passe/AUTHTOK disponible. Dans le cas manquant, use_first_pass échoue et try_first_pass permet au module de demander un mot de passe.


C'est ce que j'ai fini par faire. Voir le commentaire marqué de trois astérisques.

#include <stdlib.h>
#include <iostream>
#include <fstream>
#include <security/pam_appl.h>
#include <unistd.h>

// To build this:
// g++ test.cpp -lpam -o test

// if pam header files missing try:
// sudo apt install libpam0g-dev

struct pam_response *reply;

//function used to get user input
int function_conversation(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *appdata_ptr)
{
  *resp = reply;
  return PAM_SUCCESS;
}

int main(int argc, char** argv)
{
  if(argc != 2) {
      fprintf(stderr, "Usage: check_user <username>\n");
      exit(1);
  }
  const char *username;
  username = argv[1];

  const struct pam_conv local_conversation = { function_conversation, NULL };
  pam_handle_t *local_auth_handle = NULL; // this gets set by pam_start

  int retval;

  // local_auth_handle gets set based on the service
  retval = pam_start("common-auth", username, &local_conversation, &local_auth_handle);

  if (retval != PAM_SUCCESS)
  {
    std::cout << "pam_start returned " << retval << std::endl;
    exit(retval);
  }

  reply = (struct pam_response *)malloc(sizeof(struct pam_response));

  // *** Get the password by any method, or maybe it was passed into this function.
  reply[0].resp = getpass("Password: ");
  reply[0].resp_retcode = 0;

  retval = pam_authenticate(local_auth_handle, 0);

  if (retval != PAM_SUCCESS)
  {
    if (retval == PAM_AUTH_ERR)
    {
      std::cout << "Authentication failure." << std::endl;
    }
    else
    {
      std::cout << "pam_authenticate returned " << retval << std::endl;
    }
    exit(retval);
  }

  std::cout << "Authenticated." << std::endl;

  retval = pam_end(local_auth_handle, retval);

  if (retval != PAM_SUCCESS)
  {
    std::cout << "pam_end returned " << retval << std::endl;
    exit(retval);
  }

  return retval;
}

Linux
  1. Comment configurer SPF pour une authentification supplémentaire des e-mails

  2. Vsftpd échoue l'authentification Pam ?

  3. Linux – Quelle application utiliser pour un calendrier ?

  4. Préparez-vous pour les événements à fort trafic

  5. Limiter l'accès aux appels système pour une application Linux

Désactiver l'authentification par mot de passe SSH pour un utilisateur ou un groupe spécifique

Comment configurer l'authentification multifacteur pour SSH sous Linux

Anatomie d'un fichier de configuration Linux Pluggable Authentication Modules (PAM)

Une introduction aux modules d'authentification enfichables (PAM) sous Linux

Authentification PAM

NGINX en tant que proxy inverse pour l'application Node ou Angular