Na sintaxe estendida (consulte pam.conf(5) ), é possível definir um comportamento personalizado para quando a chamada dlopen () falhar definindo um comportamento para o código de erro open_err . Dito isso, sufficient já deveria estar realizando isso para você. Aqui está a sintaxe estendida equivalente da mesma página de manual:
sufficient
[success=done new_authtok_reqd=done default=ignore]
Veja que default=ignore no final?
The last of these, default, implies ´all valueN´s not mentioned
explicitly. Note, the full list of PAM errors is available in
/usr/include/security/_pam_types.h.
Em outras palavras, default=ignore é equivalente a open_err=ignore . A menos que o PAM esteja se comportando de uma maneira que não esteja documentada aqui, isso sugeriria que a falha está ocorrendo mais abaixo na pilha.
Apenas para eliminar qualquer dúvida, aqui está a definição de PAM_OPEN_ERR dos cabeçalhos:
#define PAM_OPEN_ERR 1 /* dlopen() failure when dynamically */
/* loading a service module */