玩转OurBMC第十九期：BMC用户管理模块

【栏目介绍：“玩转OurBMC”是OurBMC社区开创的知识分享类栏目，主要聚焦于社区和BMC全栈技术相关基础知识的分享，全方位涵盖了从理论原理到实践操作的知识传递。OurBMC社区将通过“玩转OurBMC”栏目，帮助开发者们深入了解到社区文化、理念及特色，增进开发者对BMC全栈技术的理解。

欢迎各位关注“玩转OurBMC”栏目，共同探索OurBMC社区的精彩世界。同时，我们诚挚地邀请各位开发者向“玩转OurBMC”栏目投稿，共同学习进步，将栏目打造成为汇聚智慧、激发创意的知识园地。】

用户管理是系统中运维管理的重要组成部分，主要涉及权限的划分和资源的分配。通过为不同用户设定不同的权限级别，可以确保系统的安全性和稳定性。例如，管理员拥有最高权限，可以进行系统配置、用户管理、网络配置等操作；而普通用户则仅可以查看系统的配置状态。

在OpenBMC软件栈中，默认支持本地用户和ldap远端用户两种模式。前者将用户信息保存在BMC文件系统中，通过shadow提供的工具（如useradd、usermod等）或glibc提供的函数接口（如getspnam\_r、fgetpwent\_r等）进行管理；后者将用户的信息保存在ldap服务器的数据库中，由ldap统一管理，通过BMC端的ldap客户端通过网络进行访问。两种模式的认证均由linux-pam模块完成，该模块支持动态增加，如OpenBMC中，添加pam_ldap.so模块用于ldap用户的认证，添加pam_ipmicheck.so模块用于ipmi用户密码的检查。

用户管理流程

在OpenBMC中，用户管理整体框如下图所示：

下面对各模块功能进行介绍：

phosphor-user-manager(简称user\_mgr)和phosphor-ldap-conf应用，基于dbus编程的思想，将底层操作的接口封装成方法或者属性，暴露到DBUS总线上，供其他程序调用。User\_mgr主要提供用户的创建、修改、删除、查询等dbus方法或者属性，用于用户信息管理用户，phosphor-ldap-conf主要提供配置ldap服务器信息(如uri、BaseDN、BindDN等）和ldap用户分组权限的功能。
ipmid和bmcweb是用户管理的对外操作接口。
Libpam主要配置用户认证、账户信息、密码和会话的规则，包含密码的复杂度、账户的锁定时间和尝试登录次数、认证方式等；
shadow-utils提供基础的用户管理工具，配置文件为/etc/login.defs；
nslcd是轻量型的ldap客户端，用于访问ldap服务器，配置文件/etc/nslcd.conf；
glibc提供查询获取修改用户信息的底层接口，获取的数据源及其优先级由/etc/nsswitch.conf中指定；

下面结合实际的代码，讲述用户管理和认证的流程。

查询修改用户信息

ipmi/bmcweb发起请求，调用dbus的方法创建用户、查询、删除用户或修改某用户信息或者分组，openbmc中用户的权限和访问通过用户所在的分组进行控制，如"redfish"分组的用户可调用redfish接口，"priv-admin"分组的用户具有管理员权限。user_mgr暴露的可调用的dbus的接口和属性如下；

1. 收到dbus调用后，user_mgr执行对应的动作，修改用户则调用shadow提供的工具，如useradd（添加用户）、usermod（修改用户）、userdel(删除)等，查询分组和用户信息，则调用glibc库和直接遍历本地文件获得；

2. shadow工具会根据login.defs中的配置规则，创建、修改用户信息；如果符合规则，则调用glibc库函数。然后根据nsswitch中的配置用户账户信息的数据源及优先级，修改最新的用户信息到对应的数据源，下面配置表示优先为本地文件保存的用户，其次为systemd中自动创建的临时用户（如容器、服务进程的动态用户），最后为ldap用户。

3. 如果是创建用户密码或者修改密码，在创建用户完成后，会调用libpam库提供的pam\_start/pam\_chauthtok/pam\_end更新用户的密码信息，根据pam\_start打开的文件中的规则对密码进行限制，文件在路径为/etc/pam.d下，如bmcweb的配置文件为”webserver”，密码规则使用公共的密码规则；