PHP pam_auth() 最佳管理指南

Question

好的，我正在为新网站开发一个小型的临时欢迎登录页面。如果愿意，公众访问者可以选择提交他们的电子邮件地址。但我还想为开发人员添加一个用户/密码登录，以便在当前开发阶段查看完整的站点。开发人员在本地 LAMP 系统上各有一个用户/通行证。

目前，我想在不在适当的网站用户系统之上创建两个单独的用户系统的情况下识别开发人员，以便快速检查该用户是否可以使用本地系统登录。 if(pam_auth($_POST["u"], $_POST["p"])) 正是这样做的。简单，漂亮。

但后来我发现您需要允许 apache 用户访问 */security/pam_passwd 文件(或稍微好一些:pam_tally*)。这样做会造成安全漏洞。

我想知道其他开发人员通过 PHP(+apache) 验证用户并通过本地 LAMP 安全系统做了什么？这是唯一的方法，还是有其他选择？有更好的建议吗？

最佳答案不一定是代码，更多的是建议库名称或指向其他解决方案描述的链接。

Answer 1

我发现这个实现是有人使用 libpam API 组合在一起的。

c 实现

• 原创文章:PAM authentication for fun and profit

C 实现的摘录 - pam.c

#include <security/pam_appl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

struct pam_response *reply;

int null_conv(int num_msg, const struct pam_message **msg, struct pam_response **resp, void *appdata_ptr) {

        *resp = reply;
        return PAM_SUCCESS;

}

static struct pam_conv conv = { null_conv, NULL };

int main(int argc, char *argv[]) {

        int retval;
        char *user, *pass;   

        if(argc == 3) {

                user = argv[1];
                pass = strdup(argv[2]);

        } else { 

                fprintf(stderr, "Usage: login [username] [password]\n");
                exit(1);

        }

        return authenticate("system-auth", user, pass);

}   

int authenticate(char *service, char *user, char *pass) {

        pam_handle_t *pamh = NULL;
        int retval = pam_start(service, user, &conv, &pamh);

        if (retval == PAM_SUCCESS) {

                reply = (struct pam_response *)malloc(sizeof(struct pam_response));
                reply[0].resp = pass;
                reply[0].resp_retcode = 0;

                retval = pam_authenticate(pamh, 0);

                if (retval == PAM_SUCCESS)
                        fprintf(stdout, "Authenticated\n");

                else
                        fprintf(stdout, "Not Authenticated\n");

                pam_end(pamh, PAM_SUCCESS);

                return ( retval == PAM_SUCCESS ? 0:1 );

        }

        return ( retval == PAM_SUCCESS ? 0:1 );

编译它的命令

$ gcc -g -lpam -o chkpasswd pam.c

示例运行

$ ./chkpasswd myusername mypassword

我想，只要稍加努力，这种方法就可以在 PHP 中适应您的需求。

PHP 实现

作为此方法的另一种替代方法，您可能会在 PHP 中推出自己的方法。我在 PECL 网站上找到了这个 PAM 库，它看起来像您想要的。

• http://pecl.php.net/package/PAM

我还会看看 Moodle 项目是如何做到的。在这里讨论。

• Tips on configuring Moodle w/ PAM Kerberos

使用 LDAP

图书馆应该具有良好的可访问性，以便进行必要的调用以通过有线访问 LDAP 之类的东西来为您进行身份验证。也可以在与 Horde 安装相同的系统上设置 LDAP 服务器，将其配置为仅供 Horde 使用。

这将使您能够访问底层系统的身份验证，可能是通过将其“包装”在 LDAP 服务中供您的 PHP 调用使用。

引用资料

• PAM authentication for fun and profit
• Linux PAM guides
• PAM tutorial (this is fairly useful)
• PAM Fedora guide