Читаем Разработка приложений в среде Linux. Второе издание полностью

Далее программа id производит итерации по всему списку, получая все необходимые ей элементы из базы данных групп. Обратите внимание, что этот процесс отличается от использования базы данных групп для получения списка групп, к которым принадлежит пользователь. В данном случае id использует базу данных групп только для установления соответствия между членами группы и именами группы. Более эффективный интерфейс мог бы использовать функцию getgrent() для производства итераций по базе данных групп и поиска элементов в списке, а не наоборот. По окончания работы не забывайте вызывать функцию endgrent(). Если этого не сделать, то индекс файла останется открытым, что впоследствии может привести к сбою в коде, если этот код предполагает (что он и должен делать), что функция getgrent() начнет работу с первого элемента.

Следует отметить, что элементы в списке, возвращаемом функцией getgroups(), не всегда могут быть отсортированы в том порядке, в каком они появляются в базе данных групп, хотя часто бывает именно так.

Если пользователь ввел имя пользователя в качестве аргумента командной строки, то программа id выполнит итерацию по файлу групп, производя поиск групп, в которых будет определено введенное имя пользователя. Не забывайте, что после всех действий необходимо вызывать функцию очистки endgrent()!

Интерфейс библиотеки С удобен для поиска информации о пользователе, однако он не позволяет администратору системы в достаточной мере управлять процессом выполнения аутентификации.

РАМ (Pluggable Authentication Modules — подключаемые модули аутентификации) является спецификацией и библиотекой, предназначенной для конфигурирования процесса аутентификации в системе. Библиотека предлагает стандартный и относительно простой интерфейс для аутентификации пользователей и изменения информации об аутентификации (например, пароля пользователя). Реализация РАМ в Linux (http://www.kernel.org/pub/linux/libs/pam) содержит полную документацию по программированию интерфейса РАМ, включая документацию по написанию новых модулей РАМ (The Module Writer's Manual), а также по написанию приложений, которые могут использовать РАМ (The Application Developer's Manual). Здесь мы только покажем пример простого использования РАМ в приложении, с помощью которого необходимо выполнять проверку паролей.

РАМ является стандартным интерфейсом, определяемым DCE, X/Open и The Open Group. Он включается как часть в некоторые версий Unix и входит в состав практически всех версий Linux. Этот интерфейс является переносимым, поэтому мы рекомендуем осуществлять аутентификацию пользователей именно с помощью РАМ. Если вам понадобится перенести код, написанный в соответствии со стандартом РАМ, в операционную систему, не поддерживающую РАМ, то сделать это можно будет очень просто. Однако поскольку РАМ является несколько жестким стандартом, то он может оказаться более сложным для переноса приложений, не поддерживающих РАМ, в систему, в которой РАМ используется.

Помимо служб, связанных с аутентификацией (определяющих, действительно ли пользователь является тем, за кого себя выдает, изменяющих информацию об аутентификации, например, паролей), РАМ также может справиться с управлением учетных записей (определяя, может ли пользователь зарегистрироваться в данный момент и на этом терминале) и управлением сертификатами (обычно, признаки аутентификации, которые используются для X и Kerberos — но определенно не uid- и gid-идентификаторы).

Реализация РАМ в Linux предлагает как стандартную библиотеку libpam, так и набор нестандартных вспомогательных функций в библиотеке libpam_misc. Главным заголовочным файлом для написания приложений, которые смогут работать с РАМ, является .

Мы займемся рассмотрением программ яра, используемых для создания приложения, зависящего от РАМ в смысле его аутентификации пользователей, а затем предложим простое приложение pamexample, которое будет использовать библиотеки libpam и libpam_misc.

РАМ проводит различие между политикой и механизмом; модули РАМ, которые реализуют политику, не взаимодействуют с пользователем напрямую, а приложение не определяет политику. Политику определяет администратор системы в файле выработки политики, и реализуется она с помощью модулей, вызываемых файлом определения политики. На основании структуры диалога, struct pam_conv, модули определяют способ, посредством которого приложениям будет посылаться запрос на получение информации от пользователя.

#include

struct pam_conv {

 int (*conv) (int num_msg, const struct pam_message ** msg,

 struct pam_response ** resp, void * appdata_ptr);

 void * appdata_ptr;

};