PAM从入门到精通（五）

接前一篇文章：PAM从入门到精通（四）

本文参考：

《The Linux-PAM Application Developers' Guide》

先再来重温一下PAM系统架构：

更加形象的形式：

五、主要函数详解

3. pam_set_item

概述：

设置PAM项。

详细描述：

pam_set_item函数允许应用程序和PAM服务模块访问和更新item_type的PAM信息。为此，将创建项参数指向的对象的副本。支持以下item_types：

• PAM_SERVICE

服务名称（标识PAM函数将用于验证程序的PAM堆栈）。

• PAM_USER

将使用其提供身份服务的实体的用户名。也就是说，在身份验证之后，PAM_USER标识可以使用该服务的本地实体。

注意，PAM堆栈中的任何模块都可以将该值从某个事物（例如，“匿名”）映射到其它事物（例如“guest119”）。

• PAM_USER_PROMPT

提示输入用户名时使用的字符串。此字符串的默认值是“login:”的本地化版本。

• PAM_TTY

终端名称：如果是设备文件，则前缀为/dev/；对于图形化的、基于X的应用程序，该项的值应该是$DISPLAY变量。

• PAM_RUSER

请求用户名：本地请求用户的本地名称或远程请求用户的远程用户名。

通常，应用程序或模块会尝试提供经过最强身份验证的值（在远程帐户之前是本地帐户）。该值的信任级别体现在与应用程序相关联的实际身份验证堆栈中，因此最终由系统管理员决定。

PAM_RUSER@PAM_RHOST应始终识别请求用户。在某些情况下，PAM_RUSER可能为NULL。在此种情况下，不清楚提出请求的实体是谁。

• PAM_RHOST

请求主机名（PAM_RUSER实体请求服务的机器的主机名）。这就是PAM_RUSER@PAM_RHOST确实标识了请求用户。在某些应用程序中，PAM_RHOST可能为NULL。在这种情况下，不清楚身份验证请求的来源。

• PAM_AUTHOK

身份验证令牌（通常是密码）。除了pam_sm_authenticate()和pam_sm_chauthtok()之外，所有模块函数都应该忽略此令牌。在前一个函数中，它用于将最新的身份验证令牌从一个堆叠的模块传递到另一个模块。在后一个函数中，令牌用于另一个目的。它包含当前活动的身份验证令牌。

• PAM_OLDAUTHOK

旧的身份验证令牌。除pam_sm_chauthtok()外，所有模块函数都应忽略此令牌。

• PAM_CONV

pam_conv结构。参见pam_conv。

以下附加项目是特定于Linux PAM的，不应在可移植应用程序中使用：

• PAM_FAIL_DELAY

用于重定向集中管理的故障延迟的函数指针。参见pam_fail_delay。

• PAM_XDISPLAY

X display的名称。对于图形化的、基于X的应用程序，该项的值应该是$DISPLAY变量。该值可以独立于PAM_TTY用于传递display的名称。

• PAM_XAUTHDATA

指向一个结构的指针，该结构包含连接到PAM_XDISPLAY指定的显示器所需的X身份验证数据（如果需要此类信息）。参见pam_xauth_data。

• PAM_AUTHOK_TYPE

默认操作是模块在请求密码时使用以下提示：“New UNIX password:”和“Retype UNIX password：”。示例单词UNIX可以替换为此项，默认情况下为空。此项目由pam_get_authtok使用。

对于除PAM_CONV和PAM_FAIL_DELAY之外的所有item_type，item都是指向以为结束符的字符串的指针。在PAM_CONV的情况下，item指向初始化的PAM_CONV结构。在PAM_FAIL_DELAY的情况下，item是函数指针：void（*DELAY_fn）（int retval，unsigned usec_DELAY，void*appdata_ptr）。

PAM_AUTHTOK和PAM_OLDAUTHTOK都将在返回应用程序之前重新设定种子。这意味着应用程序无法访问身份验证令牌。

函数声明：

#include

int pam_set_item ( pamh , item_type , item );

pam_handle_t * pamh ;

int item_type ;

const void * item ;

返回值：

• PAM_BAD_ITEM：应用程序试图设置未定义或不可访问的项。
• PAM_BUF_ERR：内存缓冲区错误。
• PAM_SUCCESS：数据已成功更新。
• PAM_SYSTEM_ERR：系统错误，作为第一个参数传递的pam_handle_t无效。

实例：

实例1. 一般性代码

     /* 设置一些关于认证用户信息的参数 */
    pam_set_item(pamh, PAM_TTY, ttyn);
    pam_set_item(pamh, PAM_RHOST, remote_host);

实例2. SDDM中的代码

参见SDDM包源码目录src/helper/backend/PamHandle.cpp中的PamHandle::setItem函数。

    bool PamHandle::setItem(int item_type, const void* item) {
        m_result = pam_set_item(m_handle, item_type, item);
        if (m_result != PAM_SUCCESS) {
            qWarning() << "[PAM] setItem:" << pam_strerror(m_handle, m_result);
        }
        return m_result == PAM_SUCCESS;
    }

更多函数请看后续文章。