sergio
bb21c28eb1
App GPUI con app_id carmen.greeter: formulario usuario+contraseña que autentica con brahman-auth en un hilo de fondo y, en éxito, emite un SessionTicket por stdout para que el compositor haga el traspaso a modo sesión. Backend mock (MIRADA_GREETER_MOCK) o PAM. Incluye brahman-auth::SessionTicket (contrato de tiquet greeter→compositor, serializado a una línea con prefijo versionado) y el modo enmascarado de nahual-widget-text-input (TextInput::with_mask para contraseñas). 18 tests nuevos; greeter verificado por compilación + clippy. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
brahman-auth
Autenticación del escritorio. Contrato Authenticator agnóstico del
backend, con dos implementaciones.
Para qué
El greeter de carmen (mirada) necesita verificar la contraseña del
usuario y, en éxito, saber su uid/gid/home/shell para arrancar la
sesión. Eso es exactamente lo que entrega Authenticator::authenticate:
use brahman_auth::{Authenticator, PamAuthenticator};
let auth = PamAuthenticator::carmen();
match auth.authenticate("sergio", &password) {
Ok(info) => arrancar_sesion(info), // info: UserInfo
Err(e) => mostrar_error_en_greeter(e),
}
Backends
PamAuthenticator— verifica contra PAM (/etc/pam.d/<servicio>), el mismo subsistema deloginysudo. Hereda lo que el administrador configure ahí (2FA, FIDO2,pam_faillock…) sin que el crate lo sepa.MockAuthenticator— credenciales fijas en memoria. Para tests y para iterar el greeter en cajas sin PAM configurado.
AuthError es deliberadamente grueso: el greeter sólo distingue
"reintentá" (BadCredentials) de "cuenta vetada" (AccountUnavailable),
y nunca puede saber si un usuario existe.
Servicio PAM
data/carmen es el archivo de servicio. Instalarlo:
install -Dm644 data/carmen /etc/pam.d/carmen
Ajustar el include a la pila de login de la distribución (ver los
comentarios del archivo).
Probar contra PAM en una máquina real
cargo run -p brahman-auth --example auth-probe -- "$USER" login
Pide la contraseña sin eco e informa el UserInfo resuelto.