[发明专利]一种基于pam模块的系统分权的方法

权利要求书

1.一种基于pam模块的系统分权的方法，其特征在于包括以下三个部分：

特权用户，为系统设定三个管理类账户，root用户：一般的管理工作；安全管理员用户：为系统其它用户或进程设置权力；审计用户：审计方面工作；

分权模块，对root用户进行拆分，并通过权利设置函数为root用户及另外两个特权用户设置系统权限，实现root用户的权利拆分；

用户权利配置文件，指明上述三个特权用户应具有的最小权利集，在可插拔认证的pam模块认证时供权利设置函数读取，并且指明pam认证时所使用的pam模块以进行权利拆分；

在用户本地登陆或远程登陆过程中，在pam模块认证的时候，加入对用户的判断，对root用户进行权力拆分，分别赋予安全管理员用户和审计用户以不同的权力，使得root权限最小化。

2.根据权利要求1所述的一种基于pam模块的系统分权的方法，其特征在于：所述pam模块包括应用程序层、应用接口层和鉴别模块层，其中鉴别模块层处于整个PAM结构的最底层，它向上为应用接口层提供用户认证鉴别服务；应用接口层位于PAM结构的中间部分，它向上为应用程序屏蔽用户鉴别过程的具体细节，向下则调用模块层中的具体模块所提供的特定服务，它主要由PAM API和配置文件两部分组成，其中pam API实现鉴别过程：

当应用程序调用PAM API 时，应用接口层按照PAM配置文件的定义来加载相应的认证鉴别模块，然后把请求传递给底层的认证鉴别模块，认证鉴别模块根据要求执行具体的认证鉴别操作；

当认证鉴别模块执行完相应的操作后，再将结果返回给应用接口层，然后由接口层根据配置的具体情况将来自认证鉴别模块的应答返回给应用程序。

3.根据权利要求2所述的一种基于pam模块的系统分权的方法，其特征在于：所述鉴别模块层提供的认证鉴别服务是指：对root用户进行权力拆分，通过在会话类接口中加入用户权力设置函数，对root所拥有的权利进行重新设置。

4.根据权利要求2所述的一种基于pam模块的系统分权的方法，其特征在于：所述应用接口层中的配置文件包括两种：一种是用户与权利对应的配置文件，此配置文件用于在为用户赋予权利时使用，通过读取此配置文件可以明确不同用户应赋予的权利，并可以修改某一用户的权力集；另一种pam模块的配置文件，需要在此配置文件中指定需要认证的服务，及认证时所用到的pam模块名。