A autenticação GSSAPI não é tratada pelo PAM. O módulo PAM para kerberos é usado para autenticação de senha de um usuário, usando o protocolo Kerberos para obter um ticket válido.
Existem 3 resultados da autenticação GSSAPI.
- Falha na autenticação porque as credenciais foram enviadas, mas as credenciais eram inválidas.
- A autenticação foi bem-sucedida usando as credenciais apresentadas.
- A autenticação é ignorada porque não foram fornecidas credenciais.
Se o resultado for 1, a solicitação será negada imediatamente, pois um token foi enviado, mas falhou. O SSHD não tenta outros métodos de autenticação.
Se o resultado for 3, sshd
tentará em seguida outros métodos de autenticação, o que inclui a seção PAM auth
.
Não estou familiarizado com pam_radius
, mas suponho que ele solicite um token de autenticação, independentemente de o usuário existir ou não por motivos de segurança. A falha indica imediatamente a um usuário / atacante que tal usuário não existe, portanto, a partir de um processo de eliminação, você pode enumerar os usuários.
Quanto à opção "requisite", na configuração da pilha, "required" e "requisite" têm o mesmo efeito. pam_krb
não pode solicitar um ticket sem um usuário válido, de modo que acabaria falhando imediatamente.
Para a configuração dada pam_unix
não é usada para autenticação, mas autorização, esta é uma etapa que ocorre após a autenticação. Esclarecer; autenticação lida com provar que você é quem você diz que é, enquanto a autorização lida com você ter permissões corretas para fazer o que você quer fazer (que neste caso é o login).