این مقاله توصیف اصول اساسی و مکانیسم های ماژول احراز هویت نردبان (پم) کتابخانه, و توضیح می دهد که چگونه برای پیکربندی پم, چگونه به ادغام پم به برنامه های کاربردی, و چگونه به نوشتن ماژول های پم.
18.2. Introduc مقدمه
ماژول های احراز هویت نردبان (پم) کتابخانه یک رابط کاربری رابط کاربری عمومی برای خدمات مربوط به احراز هویت که اجازه می دهد تا یک مدیر سیستم برای اضافه کردن روش های احراز هویت جدید به سادگی با نصب ماژول های پم جدید است, و برای تغییر سیاست های احراز هویت با ویرایش فایل های پیکربندی.
پم در سال 1995 توسط ویپین سامار و چارلی لای از سان مایکروسیستمز تعریف و توسعه یافت و تاکنون تغییر چندانی نکرده است. در سال 1997 گروه باز مشخصات اولیه ورود به سیستم ایکس/باز را منتشر کرد که برنامه های افزودنی را برای ورود به سیستم تک (یا بهتر بگوییم یکپارچه) اضافه کرد. در زمان نگارش این مقاله, این مشخصات هنوز به عنوان یک استاندارد به تصویب رسید.
اگر چه این مقاله تمرکز در درجه اول در بورس 5.ایکس و نتبیاسدی 3.ایکس, که هر دو استفاده از اپنپام, باید به همان اندازه قابل اجرا به بورس 4.ایکس, که با استفاده از لینوکس پم, و سیستم عامل های دیگر مانند لینوکس و سولاریس ™ .
18.3. Terms شرایط و قراردادها
18.3.1. Tions تعاریف
اصطلاحات پیرامون پم کاملا گیج شده است. نه مقاله اصلی سامار و لای و نه مشخصات ایکس اسو هیچ تلاشی برای تعریف رسمی اصطلاحات برای بازیگران و نهادهای مختلف درگیر در پم انجام ندادند و اصطلاحاتی که استفاده می کنند (اما تعریف نمی کنند) گاهی گمراه کننده و مبهم هستند. اولین تلاش برای ایجاد اصطلاحات سازگار و بدون ابهام مقاله ای بود که توسط اندرو جی مورگان (نویسنده لینوکس-پم) در سال 1999. در حالی که انتخاب اصطلاحات مورگان یک جهش بزرگ به جلو بود اما از نظر این نویسنده به هیچ وجه کامل نیست. چه زیر تلاش است, به شدت توسط مورگان الهام, برای تعریف شرایط دقیق و بدون ابهام برای همه بازیگران و نهادهای درگیر در پم.
مجموعه ای از اعتبار متقاضی درخواست از داور.
کاربر یا نهاد درخواست احراز هویت.
کاربر یا نهادی که دارای امتیازات لازم برای تایید اعتبار متقاضی و اختیار اعطای یا رد درخواست است.
دنباله ای از ماژول خواهد شد که در پاسخ به درخواست پم استناد. این زنجیره شامل اطلاعاتی در مورد ترتیب فراخوانی ماژول ها و نحوه تفسیر نتایج است.
درخواست برای شروع یک درخواست احراز هویت از طرف متقاضی و برای اخذ اطلاعات احراز هویت لازم را از او.
یکی از چهار گروه اساسی از قابلیت های پم: احراز هویت, مدیریت حساب, مدیریت جلسه و به روز رسانی رمز احراز هویت.
مجموعه ای از یک یا چند عملکرد مرتبط که یک مرکز احراز هویت خاص را پیاده سازی می کند و در یک فایل باینری واحد (به طور معمول قابل بارگذاری پویا) جمع شده و با یک نام مشخص می شود.
مجموعه ای کامل از اظهارات پیکربندی توصیف نحوه رسیدگی به درخواست پم برای یک سرویس خاص. سیاست به طور معمول شامل چهار زنجیره, یکی برای هر یک از تسهیلات, هر چند برخی از خدمات تمام چهار امکانات استفاده کنید.
نرم افزار اقدام به نمایندگی از داور به صحبت با مشتری, بازیابی اطلاعات احراز هویت, بررسی اعتبار متقاضی و اعطای یا رد درخواست.
کلاسی از سرورها که عملکردهای مشابه یا مرتبط را فراهم می کنند و نیاز به احراز هویت مشابه دارند. سیاست های پم بر اساس هر سرویس تعریف, به طوری که تمام سرور که ادعا می کنند نام سرویس همان خواهد بود موضوع را به همان سیاست.
زمینه ای که سرویس توسط سرور به متقاضی رندر می شود. یکی از چهار امکانات پم, مدیریت جلسه, به طور انحصاری با راه اندازی و پاره کردن این زمینه نگران.
یک تکه از اطلاعات مرتبط با حساب, مانند یک رمز عبور یا عبارت عبور, که متقاضی باید برای اثبات هویت خود را.
دنباله ای از درخواست از همان متقاضی به همان نمونه از همان سرور, شروع با احراز هویت و جلسه تنظیم کردن و با پایان دادن به جلسه پارگی به پایین.
18.3.2.- نمونه های استفاده
این بخش با هدف نشان دادن معانی برخی از اصطلاحات تعریف شده در بالا از طریق تعداد انگشت شماری از نمونه های ساده است.
18.3.2.1. Ient مشتری و سرور یکی هستند
این مثال ساده نشان می دهد الیس سو (1) نشستند به ریشه .
متقاضی علی است .
حساب ریشه است .
سو (1) روند هر دو مشتری و سرور است.
نشانه احراز هویت ژی3کیونه است .
داور ریشه است, همین دلیل است که سو (1) ریشه تنظیم شده است .
18.3.2.2.- مشتری و سرور جدا هستند
مثال زیر نشان می دهد حوا سعی کنید برای شروع یک اس اچ (1) اتصال به login. example. com , بخواهید به عنوان باب وارد شوید و موفق شوید. باب باید رمز عبور بهتری انتخاب می کرد!
متقاضی حوا است .
مشتری ششش حوا است (1) روند.
نمایندگی تعمیرات بوتان (8) login. example. com
حساب باب است .
نشانه احراز هویت خداست .
اگر چه این است که در این مثال نشان داده شده است, داور ریشه است .
18.3.2.3.- سیاست نمونه
خط مشی پیش فرض فریبیاسدی برای اس. دی به شرح زیر است :
این خط مشی در مورد سرویس اس.اس. دی (که لزوما محدود به سرور اس. اس. دی (8) نیست اعمال می شود.)
تایید, حساب , جلسه و رمز عبور امکانات هستند.
pam_nologin. so , pam_unix. so , pam_login_access. so , pam_lastlog. so و pam_permit. so ماژول هستند. از این مثال روشن است که pam_unix. so فراهم می کند حداقل دو امکانات (احراز هویت و مدیریت حساب.)
برخی از تفاوت های بین سیاست های بورس و نتبیاسدی پم وجود دارد:
به طور پیش فرض, هر پیکربندی تحت انجام /و غیره/پم. d.
اگر پیکربندی غیر موجود است, شما دسترسی به سیستم ندارد, در مقابل با بورس است که یک سیاست به طور پیش فرض از احراز هویت اجازه می دهد.
برای احراز هویت , نیروهای نتبیاسدی حداقل یک مورد نیاز, لازم و یا اتصال ماژول به وجود داشته باشد.
18.4.�پم ملزومات
18.4.1.�امکانات و بدوی ها
این سیستم دارای شش بدوی احراز هویت مختلف است که در چهار امکانات گروه بندی شده اند که در زیر توضیح داده شده است.
احراز هویت. این تسهیلات مربوط به احراز هویت متقاضی و ایجاد اعتبار حساب است. این دو ابتدایی را فراهم می کند:
احراز هویت (3) متقاضی را معمولا با درخواست یک نشانه احراز هویت و مقایسه با یک مقدار ذخیره شده در یک پایگاه داده یا از یک سرور احراز هویت احراز هویت می کند.
پام_سرخ (3) ایجاد اعتبار حساب مانند شناسه کاربری, عضویت در گروه و محدودیت منابع.
مدیریت حساب. این تسهیلات مشکلات مربوط به عدم احراز هویت در دسترس بودن حساب مانند محدودیت های دسترسی بر اساس زمان روز یا بار کاری سرور را بر عهده دارد. این یک ابتدایی واحد را فراهم می کند:
3) تایید می کند که حساب درخواستی در دسترس است.
مدیریت جلسه. این مرکز وظایف مرتبط با تنظیم جلسه و پارگی مانند حسابداری ورود به سیستم را انجام می دهد. این دو ابتدایی را فراهم می کند:
3) انجام وظایف مرتبط با جلسه تنظیم کردن: اضافه کردن یک ورودی در پایگاه داده ها, شروع یک عامل, و غیره.
3) انجام وظایف مرتبط با جلسه پارگی به پایین: اضافه کردن یک ورودی در پایگاه داده ها, متوقف کردن عامل اس اچ, و غیره.
مدیریت رمز عبور. این تسهیلات برای تغییر رمز احراز هویت مرتبط با یک حساب کاربری استفاده می شود یا به این دلیل که منقضی شده است یا به این دلیل که کاربر مایل به تغییر است. این یک ابتدایی واحد را فراهم می کند:
3) تغییر رمز احراز هویت, به صورت اختیاری تایید است که به اندازه کافی سخت به حدس زدن, قبلا استفاده نشده است, و غیره.
18.4.2. Ules ماژول ها
ماژول ها یک مفهوم بسیار مرکزی در پم هستند . یک ماژول پم یک قطعه خود شامل کد برنامه است که پیاده سازی شکلهای هندسی اولیه در یک یا چند امکانات برای یک مکانیزم خاص است; مکانیسم های ممکن برای تسهیلات احراز هویت, برای مثال, شامل یونیکس include پایگاه داده رمز عبور, نیس, الداپ و شعاع.
18.4.2.1.- نامگذاری ماژول
بورس و نتبیاسدی پیاده سازی هر مکانیزم در یک ماژول واحد, نام پام_ مکانیزم. بنابراین (به عنوان مثال, pam_unix. so برای یونیکس mechan مکانیسم.) سایر پیاده سازی ها گاهی اوقات ماژول های جداگانه ای برای امکانات جداگانه دارند و شامل نام تسهیلات و همچنین نام مکانیزم در نام ماژول هستند. 1 ماژول است که معمولا مورد استفاده برای احراز هویت کاربران مودم. همچنین, تقریبا در هر ماژول دارای یک صفحه مرد با همین نام, به عنوان مثال: پام_ونیکس (8) توضیح می دهد که چگونه pam_unix. so ماژول کار می کند.
18.4.2.2.- نسخه ماژول
اجرای پم اصلی بورس است, بر اساس لینوکس پم, شماره نسخه برای ماژول های پم استفاده نمی. این معمولا باعث مشکلات با برنامه های کاربردی میراث, که ممکن است در برابر نسخه های قدیمی تر از کتابخانه سیستم مرتبط, به عنوان هیچ راهی برای بارگذاری یک نسخه تطبیق از ماژول های مورد نیاز وجود دارد.
اپنپام, اما, به نظر می رسد برای ماژول هایی که شماره نسخه همان کتابخانه پم (در حال حاضر 2 در بورس و 0 در نتبیاسدی), و تنها به یک ماژول بدون نسخه می افتد اگر هیچ ماژول نسخه می تواند لود. بنابراین ماژول های قدیمی را می توان برای برنامه های قدیمی فراهم کرد و در عین حال به برنامه های جدید (یا تازه ساخته شده) اجازه می دهد تا از جدیدترین ماژول ها استفاده کنند.
اگرچه ماژول های پم سولاریس معمولا شماره نسخه دارند اما واقعا نسخه بندی نشده اند زیرا این شماره بخشی از نام ماژول است و باید در پیکربندی گنجانده شود.
18.4.2.3.- مسیر ماژول
یک دایرکتوری مشترک برای ذخیره سازی ماژول های پم وجود ندارد. شما می توانید این برنامه ها را در هر زمان و هر زمان که بخواهید پیدا کنید .
18.4.3.�زنجیره ها و سیاست ها
هنگامی که یک سرور شروع یک معامله پم, کتابخانه پم تلاش می کند برای بارگذاری یک سیاست برای خدمات مشخص شده در پم_شروع (3) پاسخ. این خط مشی نحوه پردازش درخواست های احراز هویت را مشخص می کند و در یک فایل پیکربندی تعریف می شود. این مفهوم مرکزی دیگر در پم است: این امکان را برای مدیر به لحن سیاست امنیتی سیستم (در معنای گسترده تر از کلمه) به سادگی با ویرایش یک فایل متنی.
سیاست متشکل از چهار زنجیره, یکی برای هر یک از چهار امکانات پم. هر زنجیره یک دنباله ای از اظهارات پیکربندی است, هر مشخص کردن یک ماژول به استناد, برخی (اختیاری) پارامترهای به تصویب به ماژول, و یک پرچم کنترل که توصیف چگونه به تفسیر کد بازگشت از ماژول.
درک پرچم های کنترل برای درک فایل های پیکربندی پم ضروری است. تعدادی پرچم کنترل مختلف وجود دارد:
اگر ماژول موفق و هیچ ماژول های قبلی در زنجیره ای شکست خورده است, زنجیره ای است که بلافاصله خاتمه یافته و درخواست اعطا شده است. اگر ماژول نتواند, بقیه زنجیره ای اجرا شده است, اما درخواست در نهایت رد.
این پرچم کنترل توسط سان در سولاریس 9 دلار (سانوس 5.9 دلار) معرفی شد و همچنین توسط اپن پام پشتیبانی می شود.
اگر ماژول موفق, بقیه زنجیره اجرا شده است, و درخواست اعطا شده است مگر اینکه برخی از ماژول های دیگر با شکست مواجه. اگر ماژول نتواند, بقیه زنجیره ای نیز اجرا, اما درخواست در نهایت رد.
اگر ماژول موفق, بقیه زنجیره اجرا شده است, و درخواست اعطا شده است مگر اینکه برخی از ماژول های دیگر با شکست مواجه. اگر ماژول نتواند, زنجیره ای است که بلافاصله خاتمه یافته و درخواست رد شده است.
اگر ماژول موفق و هیچ ماژول های قبلی در زنجیره ای شکست خورده است, زنجیره ای است که بلافاصله خاتمه یافته و درخواست اعطا شده است. اگر ماژول نتواند, ماژول نادیده گرفته می شود و بقیه زنجیره ای اجرا شده است.
به عنوان معناشناسی این پرچم ممکن است تا حدودی گیج کننده, به ویژه هنگامی که برای ماژول گذشته در یک زنجیره استفاده می شود, توصیه می شود که پرچم کنترل اتصال به جای استفاده می شود اگر پیاده سازی پشتیبانی می کند.
ماژول اجرا می شود اما نتیجه اش نادیده گرفته می شود. اگر تمام ماژول در یک زنجیره اختیاری مشخص شده اند, تمام درخواست همیشه اعطا خواهد شد.
هنگامی که یک سرور یکی از شش شکلهای هندسی اولیه پم فراخوانی, پم بازیابی زنجیره ای برای تسهیلات بدوی متعلق به, و فراخوانی هر یک از ماژول های ذکر شده در زنجیره, در نظم که ذکر شده است, تا زمانی که پایان می رسد, و یا تعیین می کند که هیچ پردازش بیشتر لازم است (یا به دلیل یک ماژول اتصال و یا کافی موفق, و یا به دلیل یک ماژول لازم شکست خورده.) درخواست اعطا اگر و تنها اگر حداقل یک ماژول فراخوانی شد, و تمام ماژول های غیر اختیاری موفق.
توجه داشته باشید که ممکن است, هر چند بسیار معمول نیست, به همان ماژول ذکر شده چندین بار در همان زنجیره ای. برای مثال, یک ماژول است که به نظر می رسد تا نام کاربر و کلمه عبور در یک سرور دایرکتوری می تواند چندین بار با پارامترهای مختلف مشخص سرور دایرکتوری های مختلف برای تماس با استناد. پم درمان وقوع مختلف از ماژول های مشابه در همان زنجیره ای به عنوان مختلف, ماژول های نامربوط.
18.4.4. Tions معاملات
چرخه عمر یک معامله پم معمولی در زیر شرح داده شده است. توجه داشته باشید که اگر هر یک از این مراحل با شکست مواجه, سرور باید یک پیام خطا مناسب به مشتری گزارش و سقط معامله.
در صورت لزوم, سرور اعتبار داور را از طریق مکانیزمی مستقل از پم دریافت می کند—معمولا به دلیل شروع کار توسط ریشه , یا ریشه ثابت بودن .
سرور تماس می گیرد پم_شروع (3) برای مقداردهی اولیه کتابخانه پم و نام سرویس و حساب مورد نظر خود را مشخص کنید و یک عملکرد مکالمه مناسب را ثبت کنید.
سرور اطلاعات مختلفی را در رابطه با تراکنش دریافت می کند (مانند نام کاربری متقاضی و نام میزبان مشتری اجرا می شود) و با استفاده از پام (3) به پم ارسال می کند .
سرور برای احراز هویت متقاضی با پم _ احراز هویت (3) تماس می گیرد.
سرور برای بررسی موجود و معتبر بودن حساب درخواستی با پم تماس می گیرد. اگر رمز عبور صحیح است اما منقضی شده است, پام_اکت_ام جی ام تی (3) به جای پام_اختصاص باز خواهد گشت .
اگر مرحله قبل بازگشت پام_جدید_جدید , سرور اکنون تماس می گیرد پام_چاوتوک (3) تا مشتری را مجبور به تغییر رمز احراز هویت برای حساب درخواستی کند.
اکنون که متقاضی به درستی احراز هویت شده است, سرور تماس می گیرد پام_ستسرخ (3) برای ایجاد اعتبار حساب درخواستی. این می تواند این کار را انجام دهد زیرا از طرف داور عمل می کند و اعتبار داور را نگه می دارد.
هنگامی که اعتبار درست ایجاد شده است, سرور تماس پام_باز کردن جلسه (3) به راه اندازی جلسه.
سرور اکنون هر خدمتی را که مشتری درخواست کرده انجام می دهد—به عنوان مثال پوسته ای را در اختیار متقاضی قرار می دهد.
هنگامی که سرور انجام شده است در خدمت مشتری, این تماس پام_کلاست_جلسه (3) به پاره کردن جلسه.
سرانجام سرور با پام_ند (3) تماس می گیرد تا به کتابخانه پم اطلاع دهد که انجام شده است و می تواند هر منابعی را که در طول معامله اختصاص داده است منتشر کند.
