sshで入力したユーザーのユーザー名とパスワードを取得しようとすると、登録ユーザーと未登録ユーザー(Ubuntuユーザー)のパスワードのみが表示され、「INC」という文字列が表示されます。 Ubuntu認証を上書きし、ユーザーが自分のデータベースを介して合法的であるかどうかをテストし、その場合はデフォルトのユーザーとパスワードをリダイレクトしようとしています。私のコード:
int pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc, const char **argv) {
const char *user = NULL;
const char * password=NULL;
int pgu_ret, snp_ret, a_ret,retVal=0;
int i =0,pam_err=0;
FILE * fp =fopen("/var/log/test_pam_debug.txt","a");
fprintf(fp,"pam_sm_authenticate function start \n");
pgu_ret = pam_get_user(pamh, &user, NULL);
if (pgu_ret != PAM_SUCCESS || user == NULL) {
fprintf(fp,"pam_sm_authenticate get user failed \n");
fclose(fp);
return(PAM_IGNORE);
}
else
fprintf(fp,"pam_sm_authenticate user :%s \n",user);
/* get this user's authentication token */
retVal = pam_get_authtok(pamh, PAM_AUTHTOK, &password , NULL);
if (retVal != PAM_SUCCESS) {
if (retVal != PAM_CONV_AGAIN)
{
fprintf(fp,"auth could not identify password for [%s]\n", user);
}
else
{
fprintf(fp,"conversation function is not ready yet \n");
}
fclose(fp);
fprintf(fp,"retVal : %d \n ",retVal);
return(retVal);
}
else if(password)
fprintf(fp,"user=%s, password=[%s]\n", user,password);
/*TODO : here i will check the user && pasword via db in if so continue else return PAM_USER_UNKNOWN*/
if ((pam_err = pam_set_item(pamh, PAM_RUSER, "default_user")) != PAM_SUCCESS)
{ printf("\n pam_set_item( pamh, PAM_RUSER, rad) error msg : %s and return code : %d \n ", pam_strerror(pamh, pam_err),pam_err);
fclose(fp);
return(PAM_USER_UNKNOWN);
}
if ((pam_err = pam_set_item(pamh, PAM_AUTHTOK, "default_userPwd")) != PAM_SUCCESS)
{
printf("\n pam_set_item( pamh, PAM_AUTHTOK, rad123) error msg : %s and return code : %d \n ", pam_strerror(pamh, pam_err),pam_err);
fclose(fp);
return(PAM_CRED_INSUFFICIENT);
}
fclose(fp);
return(PAM_SUCCESS);
}
適切な認証の.soためにこれをコンパイルして追加しました。/etc/pam.d/sshd/lib/x86_64-linux-gnu/security/pam_test.so
指紋が写っています。/var/log/test_pam_debug.txt
user=wewe, password=[ ]不明または時々
2..user=jhjh, password=[ IN]既知のユーザーの場合は、ユーザーのパスワードを印刷します(ユーザーが入力したパスワードではなく、変更できないようです)。
答え1
見つかった問題は次のとおりです。https://www.linuxquestions.org/questions/programming-9/can%27t-get-auth-token-for-non-local-users-with-pam-module-945164/
基本的に問題は、不明なユーザーからパスワードを取得できないことです。\b\n\r\177INCORRECTLinux PAMは、システムデータベース(サービススイッチの命名、man nsswitch.confを参照)からユーザーに関する情報を取得できない場合、パスワードを上書きします。考えられる解決策は、getpawnを使用してユーザーが存在することを確認することです。例:
/* The actual pam functions are merely wrappers around succeed_if */
PAM_EXTERN int pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc, const char **argv) {
const char * password=NULL;
struct passwd *pwd;
const char *user;
int pam_err=0;
/* identify user */
pam_err = pam_get_user(pamh, &user, NULL);
if (pam_err != PAM_SUCCESS)
{
return (pam_err);
}
if ((pwd = getpwnam(user)) == NULL)
{
return (PAM_USER_UNKNOWN);
}
/* note : if user is not defined password return will be "^H$^M^?INCORRECT^@" */
pam_err = pam_get_authtok(pamh, PAM_AUTHTOK, &password , NULL);
if (pam_err!=PAM_SUCCESS)
{
return (pam_err);
}
/* here add personal auhtentication */
pam_err = isAuthenticate((char *)user,(char *)password);
if (pam_err != PAM_OK)
{
return (PAM_AUTH_ERR);
}
return (PAM_SUCCESS);
}