Разработка приложений в среде Linux - [202]

> 74:     printf("%s%d(%s)", (i == 0) ? " groups=" : ",",

> 75:      gp->gr_gid, gp->gr_name);

> 76:    }

> 77:

> 78:    free(gid_list);

> 79:   }

> 80:  } else {

> 81:   /* получение списка групп из базы данных групп */

> 82:   i = 0;

> 83:   while ((gp = getgrent())) {

> 84:    char *c = * (gp->gr_mem);

> 85:

> 86:    while (c && *c) {

> 87:     if (!strncmp(c, pw->pw_name, 16)) {

> 88:      printf("%s%d(%s)",

> 89:       (i++ == 0) ? " groups=" : ",",

> 90:       gp->gr_gid, gp->gr_name);

> 91:      с = NULL;

> 92:     } else {

> 93:      c++;

> 94:     }

> 95:    }

> 96:   }

> 97:   endgrent();

> 98:  }

> 99:

>100:  printf("\n");

>101:  exit(0);

>102: }

Код обработки аргументов, который начинается в строке 29, обращается к нескольким важным функциям. При вызове без аргументов командной строки >id производит поиск информации, основанной на том, какую программу запустил пользователь, и сообщает об этом. Описание функции >getuid() можно найти в главе 10; она возвращает идентификатор пользователя процесса, который вызвал его. Затем функция >getpwuid() производит поиск элемента в файле паролей для данного идентификатора пользователя. Если программе >id в качестве аргумента командной строки будет задано имя пользователя, то вместо этого она будет искать элемент, основанный на заданном имени, независимо от идентификатора пользователя, запустившего его.

Вначале программа >id выводит имя и числовой идентификатор пользователя. Файл паролей содержит имя главной группы пользователя. Если эта группа существует в файле групп, >id выводит его номер и имя.

В главе 10 описаны все различные формы идентификаторов, используемых в ядре. Программа >id должна применять функции >geteuid() и >getegid() для проверки >uid и >gid и выводить их, если они отличаются от эффективных >uid и >gid. И снова, структуры паролей и групп просматриваются по числовому идентификатору.

В завершение программа >id должна вывести все дополнительные группы. Здесь кроется маленькая хитрость, поскольку определить список дополнительных групп можно двумя способами. Если пользователь запускает программу >id без аргументов, то >id будет использовать функцию >getgroups(), чтобы определить, к какой группе принадлежит пользователь. В противном случае она получает список групп не из базы данных групп.

Применение функции >getgroups() предпочтительнее, так как она выводит список групп, к которым принадлежит текущий процесс, а не список групп, к которым мог принадлежать пользователь, если он в данный момент прошел регистрацию. Другими словами, если пользователь уже зарегистрировался, и ему была назначен набор дополнительных групп, а после этого база данных групп была изменена, то функция >getgroups() получает набор групп, относящихся к данному процессу регистрации пользователя; в процессе проверки базы данных групп будет получен набор групп, которые будут назначены во время следующего сеанса регистрации пользователя.

Как говорилось в главе 10, функция >getgroups() может использоваться необычным (но удобным) образом: ее можно вызвать один раз с нулевым размером и проигнорировать указатель (который, как в данном случае, может быть равен >NULL), и она вернет то количество элементов данных, которые ей нужно вернуть. Таким образом, после этого программа >id выделит список точного размера и вызовет функцию >getgroups() еще раз, но теперь уже с точным размером, и список сможет хранить всю необходимую информацию.

Далее программа >id производит итерации по всему списку, получая все необходимые ей элементы из базы данных групп. Обратите внимание, что этот процесс отличается от использования базы данных групп для получения списка групп, к которым принадлежит пользователь. В данном случае >id использует базу данных групп только для установления соответствия между членами группы и именами группы. Более эффективный интерфейс мог бы использовать функцию >getgrent() для производства итераций по базе данных групп и поиска элементов в списке, а не наоборот. По окончания работы не забывайте вызывать функцию >endgrent(). Если этого не сделать, то индекс файла останется открытым, что впоследствии может привести к сбою в коде, если этот код предполагает (что он и должен делать), что функция >getgrent() начнет работу с первого элемента.

Следует отметить, что элементы в списке, возвращаемом функцией >getgroups(), не всегда могут быть отсортированы в том порядке, в каком они появляются в базе данных групп, хотя часто бывает именно так.

Если пользователь ввел имя пользователя в качестве аргумента командной строки, то программа >id выполнит итерацию по файлу групп, производя поиск групп, в которых будет определено введенное имя пользователя. Не забывайте, что после всех действий необходимо вызывать функцию очистки >endgrent()!

Интерфейс библиотеки С удобен для поиска информации о пользователе, однако он не позволяет администратору системы в достаточной мере управлять процессом выполнения аутентификации.

РАМ (Pluggable Authentication Modules — подключаемые модули аутентификации) является спецификацией и библиотекой, предназначенной для конфигурирования процесса аутентификации в системе. Библиотека предлагает стандартный и относительно простой интерфейс для аутентификации пользователей и изменения информации об аутентификации (например, пароля пользователя). Реализация РАМ в Linux (http://www.kernel.org/pub/linux/libs/pam) содержит полную документацию по программированию интерфейса РАМ, включая документацию по написанию новых модулей РАМ (