“success = n” controla a sintaxe nos arquivos pam.conf / pam.d / *

Navegue suas respostas
15

Depois de configurar com sucesso o Kerberos, foi o que encontrei no arquivo /etc/pam.d/common-auth : 

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

O valor do controle success=2 significa que, se a pam_unix.so falhar , a autenticação pulará para a linha auth requisite pam_deny.so ou para a última linha?

    
por Jamie 21.04.2010 / 17:38

2 respostas

16

Pelo que entendi, success=$num especificará quantas regras devem ser ignoradas quando forem bem-sucedidas. Portanto, se pam_unix.so ou pam_winbind.so for bem-sucedida, o PAM pulará para a linha final. Naturalmente, a linha final permite o acesso em todos os casos.

    
por 21.04.2010 / 18:09
1

pam.d (5) - Página man do Linux

For the more complicated syntax valid control values have the following form:
[value1=action1 value2=action2 ...]
The actionN can be: an unsigned integer, n, signifying an action of 'jump over the next n modules in the stack'

O que a common-auth diz:

  1. Se a autenticação local do UNIX retornar sucesso , salte dois módulos para o 4º módulo (módulo 1 + 2 módulos para saltar - > módulo 4). Caso contrário, ignore o resultado da autenticação local e passe para o próximo módulo.
  2. Se winbind (substituído por sssd nos dias de hoje) com a autenticação kerberos retorna success , pule um módulo para o módulo 4. Caso contrário, ignore o resultado da autenticação local e vá para o próximo módulo.
  3. Negar a solicitação de autenticação. O resultado é finalizado quando DENIED e PAM param (a ação definida para o controle necessário).
  4. Permitir tudo. O resultado é finalizado como PERMITTED mas passa para o próximo módulo (a ação definida para o controle requerido). No entanto, não há nenhum módulo para executar, então termina aí.
por 26.09.2018 / 07:27

Tags

Gerenciando um aplicativo em vários servidores ou PXE vs cfEngine / Chef / Puppet Como uso o comando locate em um diretório especificado?