pam和sasl
这几天使用在Postfix搭建一个Webmail的平台,用户认证这一块最终使用了PAM。想整理一下思路,让自己对PAM有个更加清晰的认识。
1. PAM的简介
PAM全称是:Pluggable Authentication Modules。在当前的CentOS中都是用这个模块作各种认证通道。具体可以man 一下pam。
PAM的主要配置文件都集中在/etc/pam.d目录里面,里面有多个文件,每个文件表示了一种服务的认证方法,例如:sshd,login。
管理员可以根据自己的需要定义出自己的服务的认证配置,详细的配置信息可以man pam.d
2. SASL的简介
在对PAM做测试之前,需要一个sasl的工具集。SASL是一个用于认证处理的协议,全称是Simple Authentication and Security Layer。这个协议在rfc4422中定义,具体作用大概如下:
SMTP LDAP XMPP Other protocols ... \ | | / \ | | / SASL abstraction layer / | | \ / | | \ EXTERNAL GSSAPI PLAIN Other mechanisms ... |
从上面图可以看到,不同的应用通过SASL使用各种方法来进行用户认证。SASL的作用是为各种协议产生一个认证的抽象层,让用户登录的时候不用理会最终用户认证信息的出处。
一般情况下,当前的centos系统都会安装这套工具。在我的系统中,对应的版本是:
[root@kernel pam_mysql-0.7RC1]# rpm -ql cyrus-sasl-2.1.22-5.el5_4.3 /etc/rc.d/init.d/saslauthd /etc/sysconfig/saslauthd /usr/lib/sasl2 /usr/lib/sasl2/libsasldb.la /usr/lib/sasl2/libsasldb.so /usr/lib/sasl2/libsasldb.so.2 /usr/lib/sasl2/libsasldb.so.2.0.22 /usr/sbin/dbconverter-2 /usr/sbin/pluginviewer /usr/sbin/saslauthd /usr/sbin/sasldblistusers2 /usr/sbin/saslpasswd2 /usr/sbin/testsaslauthd /usr/share/doc/cyrus-sasl-2.1.22 /usr/share/doc/cyrus-sasl-2.1.22/LDAP_SASLAUTHD /usr/share/man/man8/pluginviewer.8.gz /usr/share/man/man8/saslauthd.8.gz /usr/share/man/man8/sasldblistusers2.8.gz /usr/share/man/man8/saslpasswd2.8.gz /var/run/saslauthd |
下面是SASL的配置文件,这个配置文件说明,SASL使用PAM作为获取认证数据的机制。
[root@kernel pam_mysql-0.7RC1]# cat /etc/sysconfig/saslauthd # Directory in which to place saslauthd's listening socket, pid file, and so # on. This directory must already exist. SOCKETDIR=/var/run/saslauthd # Mechanism to use when checking passwords. Run "saslauthd -v" to get a list # of which mechanism your installation was compiled with the ablity to use. MECH=pam # Additional flags to pass to saslauthd on the command line. See saslauthd(8) # for the list of accepted flags. FLAGS= |
3. 使用SASL工具对PAM进行测试
我们可以用下面方法来对sasl和pam进行测试:
[root@kernel pam.d]# testsaslauthd -u root -p xxxx -s su 0: OK "Success." [root@kernel pam.d]# testsaslauthd -u root -p xxxx -s sshd 0: OK "Success." |
[root@kernel pam.d]# testsaslauthd testsaslauthd: usage: testsaslauthd -u username -p password [-r realm] [-s servicename] [-f socket path] [-R repeatnum] |
在上面例子中,xxxx要修改为真正的密码。
4. 使用MYSQL作为PAM的数据源
我们还可以用mysql作为PAM存储用户数据的数据库。
如果使用这种方法,我们需要安装pam_mysql。可以在下面链接中获得:
http://sourceforge.net/projects/pam-mysql/
具体的安装方法可以看INSTALL,具体的配置方法可以看里面的README。
安装很简单,就是configure一下,然后执行make,最后把生成的库拷贝到pam的库目录中:
[root@kernel pam_mysql-0.7RC1]# cp .libs/pam_mysql.so /lib/security/
下面是一个配置例子:
[root@kernel pam.d]# testsaslauthd -u cyrus -p test -s smtp 0: OK "Success." |
[root@kernel pam.d]# cat smtp auth sufficient pam_mysql.so user=root passwd=admin host=localhost db=postfix table=accountuser usercolumn=username passwdcolumn=password auth sufficient pam_unix_auth.so account required pam_mysql.so user=root passwd=admin host=localhost db=postfix table=accountuser usercolumn=username passwdcolumn=password account sufficient pam_unix_acct.so |
smtp中主要是定义了mysql的连接方式和对应的库表,字段。具体可以看READM文件和man pam.d。
根据上面的配置和测试,需要创建数据库postfix,登录帐号密码是root/admin,表是accountuser,列有:username,password。
创建用户信息:cyrus/test。插入数据SQL:INSERT INTO accountuser(username, password) VALUE('cyrus','test')
5. 小结
在这里面对pam和sasl做了入门介绍,希望对大家有帮助。如果有什么问题可以给我发邮件:bljb@qq.com
下面是相关的资料:
l http://cyrusimap.org/docs/cyrus-sasl/2.1.25/
l http://sourceforge.net/projects/pam-mysql/files/?source=navbar
pam和sasl的更多相关文章
- Linux中Postfix邮件认证配置(五)
Postfix+Dovecot+Sasl工作原理 1.A用户使用MUA客户端借助smtp协议登陆smtpd服务器,需要先进行用户和密码认证,而SMTPD服务器端支持sasl认证,例如有一个sasl客户 ...
- Cyrus SASL介绍(翻译)
http://blog.sina.com.cn/s/blog_7695e9f40100pnpa.html Cyrus SASL介绍 1. 综述 这篇文档讲述的是系统管理员配置SASL的方法,其中详细的 ...
- Postfix+Sasl+Courier-authlib+Dovecot+MySQL+extmail 邮件系统部署
# yum remove postfix ##删除系统自带postfix# userdel postfix# groupdel postdrop# groupadd -g 2525 postfix# ...
- Linux可插拔认证模块(PAM)的配置文件、工作原理与流程
PAM的配置文件: 我们注意到,配置文件也放在了在应用接口层中,他与PAM API配合使用,从而达到了在应用中灵活插入所需鉴别模块的目的.他的作用主要是为应用选定具体的鉴别模块,模块间的组合以及规定模 ...
- XEP-0078:非SASL认证
XEP-0078:非SASL认证 抽象: 这个文件规定了使用Jabber的Jabber的服务器和服务认证的协议:智商:AUTH命名空间.注意哦:本文规定的协议,取而代之的SASL认证的被取代,如RFC ...
- nis,nfs,pam小结
最近一周总算把nis/nfs配置起来,中间各种被坑,这里简单记录一下: 主要参考两个大牛的文章,柏青哥,鸟哥 配置完之后的功能是可以连接任意一台主机,所有主机之间共享HOME目录,而且每人都有一定的限 ...
- linux pam 控制模式
工作类别(type).流程栈(stack)和控制模式(control) Linux-PAM 工作的"类别"(type) PAM 的具体工作主要有以下四种类别(type):accou ...
- Arch Linux sudo: PAM authentication error: Module is unknown [Solved!]
问题描述: 我的 Arch Linux 已经用了快半年多,由于 Arch Linux 的滚挂问题,我从没有直接升级过系统.软件版本以及库自然落后了一些. 就在我准备需要用到 NFS 时,挂载网络文件系 ...
- Linux UserSpace Back-Door、Rootkit SSH/PAM Backdoor Attack And Defensive Tchnology
catalog . 引言 . Pam后门 . SSH后门 . Hijacking SSH . Hijacking SSH By Setup A Tunnel Which Allows Multiple ...
随机推荐
- [CentOS]使用Jenkins配置Git+Maven的自动化构建
背景 最近安装Jenkins,参照网上的各种资料进行尝试,折腾了好久,但是查找了这么多资料,相似度在90%以上!!!,相同的安装过程,测试了几台机器,未曾成功,不得不感慨自己能力有限,最终慢慢摸索,形 ...
- linux 下启动tomca慢问题
编辑文件vim /etc/profile 后面加入一句:export JAVA_OPTS="-Djava.security.egd=file:/dev/./urandom" 设置立 ...
- rsync工具介绍 rsync常用选项 rsync通过ssh同步
linux文件同步工具-rsync [root@centos7 tmp]# yum install -y rsync rsync可以增量的同步,只同步变更的文件 把/etc/passwd 同步到/tm ...
- hive 添加自增列
比如一个表里只有contact字段 ;
- 《构建高性能web站点》读书笔记:CPU/IO并发策略
服务器并发处理能力:单位时间内处理的请求数,吞吐率,reqs/s apache的mod_status,显示的 requests/sec,从启动开始的平均计算值.lighttpd的mod_status显 ...
- Vue slot简单理解
情形一: 子组件定义了具名的slot,父组件使用具名的slot,slot显示顺序为子组件定义slot的顺序 子组件: Vue.component('child',{ template:`<div ...
- RancherOS(ROS)如何安装到硬盘? 并设置为用户自动登录到系统? -a rancher.autologin=tty1
RancherOS 安装到硬盘,一般都是通过ssh_authorized_keys 方式. ------------------------------------------- 从第一次认识到这个方 ...
- python怎么写可读性好的面向过程的长篇代码?
最近接受老代码,mmp的,说是重新运行运行起来,那还不如重写呢,因为有很多毛病,不能直接运行,pep8就不用妄想奢望了,还有包括语法错误问题和内存严重泄露的问题(运行几分钟后python.exe进程达 ...
- 8 -- 深入使用Spring -- 8...1 Spring提供的DAO支持
8.8.1 Spring提供的DAO支持. DAO模式是一种标准的Java EE设计模式,DAO模式的核心思想是,所有的数据库访问都通过DAO组件完成,DAO组件封装了数据库的增.删.查.改等原子操作 ...
- ios开发之--MJRefresh上拉加载的时候,tableview会向上偏移
1,出现这种情况的原因: 这个应该是UITableView最大的改变.我们知道在iOS8引入Self-Sizing之后,我们可以通过实现estimatedRowHeight相关的属性来展示动态的内容, ...