pam

一. 前言

        我们知道，linux pam库是一系列的库，用于处理一些应用程序的认证工作，比如login程序。但是默认的pam库只是用于本地认证，也就是认证的用户名和密码存储在本机上。如果需要远程认证，比如向radius服务器认证，就需要使用pam_radius库了，下面介绍pam_radius的使用方式

二. 配置

        要使用pam_radius，要做一些配置。这里以login程序为例，首先需要在/etc/pam.d/login中引用pam_radius.ko，然后在/etc/raddb/server配置radius服务器的IP地址和端口或域名，秘钥和超时时间。

1. /etc/pam.d/login

#%PAM-1.0
auth required /usr/lib/security/pam_radius_auth.so debug prompt=radius_password
account required /usr/lib/security/pam_unix.so
password required /usr/lib/security/pam_unix.so
session required /usr/lib/security/pam_unix.so

        在auth一栏中，使用了pam_radius_auth.so，表示登录认证需要radius服务器认证，debug表示会将登录过程的日志通过syslog输出，prompt表示密码的输入提示会由"password:"改为"radius_password:"。

2. /etc/raddb/server

# server[:port]	      shared_secret      timeout (s)
192.168.100.213:1812   testing123           3

        server[:port]此处需要填radius服务器的IP地址和端口或者radius服务器的域名，注意：填写IP地址时，必须要填写radius服务器的端口。shared_secret此处填写radius服务器的秘钥，timeout此处填写服务器响应的时间。

三. 总结

        本文介绍了pam_radius库的作用和使用方式，以及如何配置。