Linux问题-PAM

maxwu

阻止用户吧密码设置的和用户名一样可以用PAM的实现么?
如果可以,是用的那个Lib?
谢谢咯 :_)

flb_2001

这个问题比较感兴趣，关注！

maxwu

查了一下pam_cracklib.so的帮助文件,功能很强大,但是没有这一条,阻止用户设置密码和用户名相同
可以通过密码辞典来完成.  貌似绕了个圈子

maxwu

flb_2001

密码辞典怎么弄啊？

maxwu

在 Kernel.org的manual Book找pam_cracklib.so的帮助文档

但是我觉得Linux不至于这个功能也需要通过配置cracklib来完成吧?-- 正down一份cracklib的code来看,....
看完了过来回复哈 :_)

maxwu

提在于用错了ControlFlag,应该用requisite而用了request
pam_cracklib.so 会引用cracklib的一段函数FascistCheck()来判断password和username之间的关联度
ErrorMessage是"is based on your user name"

如果设置了Debug在pam_cracklib.so的参数行里面,应该还可以看到错误的password字节在syslog里面,
而Errlog,在Fedora应该是security log,在Montavista好像是在auth log里面

下面是相关的Code,
if ((crack_msg = FascistCheck(token1,options.cracklib_dictpath))) {
                if (ctrl & PAM_DEBUG_ARG)
                    pam_syslog(pamh,LOG_DEBUG,"bad password: %s",crack_msg);
                pam_error(pamh, _("BAD PASSWORD: %s"), crack_msg);
                if (getuid() || (flags & PAM_CHANGE_EXPIRED_AUTHTOK))
                    retval = PAM_AUTHTOK_ERR;
                else
                    retval = PAM_SUCCESS;
            } else {
                /* check it for strength too... */
                D(("for strength"));
                retval = _pam_unix_approve_pass (pamh, ctrl, &options,
                                                 oldtoken, token1);
                if (retval != PAM_SUCCESS) {
                    if (getuid() || (flags & PAM_CHANGE_EXPIRED_AUTHTOK))
                        retval = PAM_AUTHTOK_ERR;
                    else
                        retval = PAM_SUCCESS;
                }
            }

maxwu

回复FLB_2001, 密码辞典要预先用pam提供的工具先生成一个,即使是空的也可以.

JadeShow