GBase 8t 安全特性之客户机-服务器通讯（四）可插拔身份验证模块（PAM）

（一）概述
（二）身份验证机制概述
（三）网络安全性文件

（四）可插拔身份验证模块（PAM）

可插拔身份验证模块（PAM）是一个框架，允许用户开发和实施自己的用户身份验证机制，而无需在应用程序中进行任何更改。在缺省的网络身份验证机制之上，PAM 又构建了一个身份验证层。PAM 为账号管理、会话管理、身份验证管理和口令管理提供一系列应用编程接口（API）。

GBase 8t 支持账号管理和口令管理应用编程接口（API）。GBase 8t 支持口令模式和提问-应答模式。在口令模式中，用户口令就足以满足身份验证。在提问-应答模式中，服务器发出提问，客户机发送应答。仅当应答与预期吻合，客户机才能获准访问数据库。

您可以通过配置 GBase 8t 服务器来使用可插拔身份验证模块（PAM）添加或修改身份验证机制。下列 GBase 8t 客户机应用编程接口（API）支持 PAM：

• ESQL/C
• ODBC
• JDBC

为了配置 GBase 8t 来使用可插拔身份验证模块（PAM），应了解下列 PAM 对象：

• PAM 库
  PAM 库 libpam.<共享对象后缀> 驻留在 /usr/lib/security 或 /lib/security 之下。该库解析了 PAM 应用编程接口（API）。
• PAM 配置文件
  pam.conf PAM 配置文件包含服务及相关模块的条目。您需要在此文件中添加条目。在 Linux 平台上，在 /etc/pam.d 目录下，每一服务都有一个配置文件，而不是所有服务共用一个文件。在 Windows 平台上，您需要在 %INFORMIXDIR%\dbssodir\etc 目录之下创建 pam.conf 文件，并应包含 PAM 模块的条目。
• sqlhosts 文件
  使用 GBase 8t sqlhosts 文件来定义用于身份验证的 PAM 服务和 PAM 模式。
• PAM_STACKSIZE
  使用 PAM_STACKSIZE 配置参数来自定义 GBase 8t PAM 所需堆栈的大小。
• PAM 模块
  PAM 模块是要用于自定义身份验证的共享模块。应在保存所有操作系统安全性库的目录之下开发并复制此模块。
• 回调函数
  回调函数是与 PAM 模块交互的客户机应用程序中的代码。必须在服务器上注册此函数。