PAM 堆栈工作原理

应用程序调用以下函数时，libpam 将读取配置文件 /etc/pam.conf 以确定针对该服务参与操作的模块：

• pam_authenticate(3PAM)

• pam_acct_mgmt(3PAM)

• pam_setcred(3PAM)

• pam_open_session(3PAM)

• pam_close_session(3PAM)

• pam_chauthtok(3PAM)

如果对于该服务的操作（如验证或帐户管理）/etc/pam.conf 仅包含一个模块，则该模块的结果将确定操作的结果。例如，passwd 应用程序的缺省验证操作包含一个模块 pam_passwd_auth.so.1：

passwd  auth required           pam_passwd_auth.so.1

另一方面，如果为服务操作定义了多个模块，那么这些模块就堆叠起来，即，对于该服务存在一个 PAM 堆栈。例如，请考虑 pam.conf 包含以下项的情况：

login   auth requisite          pam_authtok_get.so.1

login   auth required           pam_dhkeys.so.1

login   auth required           pam_unix_cred.so.1

login   auth required           pam_unix_auth.so.1

login   auth required           pam_dial_auth.so.1

这些项表示 login 服务的 auth 栈样例。要确定此栈的结果，各个模块的结果代码需要进行集成处理。在集成处理中，模块按照 /etc/pam.conf 中指定的顺序执行。每个成功/失败代码都会根据模块的控制标志集成到整体结果中。控制标志会导致栈很早就终止。例如，requisite 模块可能会失败，而 sufficient 或 binding 模块则可能会成功。处理栈之后，各个结果会组合成一个整体结果并随后传送给应用程序。

控制标志用于指明 PAM 模块在确定对服务的访问方面所起的作用。五个控制标志及其作用如下所示：

• Binding－如果前面所需的模块都没有失败，则成功满足绑定模块的要求后，会向应用程序立即返回成功信息。如果满足这些条件，则不会进一步执行模块。如果失败，则会记录所需的失败信息并继续处理模块。

• Optional－不必成功满足可选模块的要求即可使用服务。如果失败，则会记录可选的失败信息。

• Required－必须成功满足必需模块的要求才能使用服务。如果失败，则执行该服务的其余模块后会返回错误信息。仅当绑定模块或所需的模块没有报告失败的情况下，才会返回该服务最终成功的信息。

• Requisite－必须成功满足必备模块的要求才能使用服务。如果失败，则会立即返回错误，而不会进一步执行模块。 只有一个服务的所有必备模块都返回成功，函数才能向应用程序返回成功。

• Sufficient－如果前面所需模块的要求都成功满足，则成功满足控制标志为 sufficient 的模块的要求后将向应用程序立即返回成功，而不会进一步执行模块。如果失败，则会记录可选的失败信息。

下面的两个图说明了如何在集成处理中确定访问权限。第一个图说明如何为每种类型的控制标志记录成败信息。第二个图说明如何确定集成值。

图 3–2 PAM 堆栈：控制标志的影响

图 3–3 PAM 堆栈：如何确定集成值