Na seguinte configuração do PAM para o arquivo /etc/pam.d/system-auth
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
Se a primeira seção ( auth ) for bem-sucedida, a segunda seção ( account ) será chamada e verificada? E, contrariamente, se a seção auth falhou, account será chamado?
Em outro cenário, para enfatizar a minha principal dificuldade, se misturarmos auth e account , tomemos o seguinte exemplo:
auth sufficient pam_unix.so nullok try_first_pass
account required pam_unix.so
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_succeed_if.so uid < 500 quiet
Como o PAM se comportará exatamente? Estou confuso sobre isso, e vai ser muito útil para mim se algum corpo puder explicar isso para mim.
O PAM não combina autenticação e tipo de conta, mas sim empilha-os independentemente de acordo com o tipo de gerenciamento. O valor de retorno de uma pilha depende da ordem das opções e dos sinalizadores de controle, cf. link
O que é feito com o resultado depende um pouco da aplicação. Normalmente, um programa como login ou su valida uma conta somente após uma autenticação bem-sucedida.
Tags authentication pam linux