Como fazer um PAM “requisite”?

Para a seção auth da configuração do meu PAM, login e mdm etc. chamam common-auth . Eu tenho common-auth chamando o seguinte como uma sub-pilha (como auth substack krb5ldap-cache-auth ):

auth optional pam_echo.so Trying UNIX
# Try UNIX, empty passwords OK
auth sufficient pam_unix.so nullok

auth optional pam_echo.so Checking UID
# If the uid < 500 and UNIX didn't work, then die.
auth requisite pam_succeed_if.so uid >= 500 quiet_success

auth optional pam_echo.so Trying Kerberos
# Try Kerberos, using the same password
# If the password is correct (success), then skip next lines
# If the password is wrong (auth_err), then die
# If Kerberos can't connect (?), then ignore
auth [success=2 auth_err=die default=ignore] pam_krb5.so debug use_first_pass

# Try the cache, using the same password
# Last chance.
auth optional pam_echo.so Trying cache
auth [success=done default=die] pam_ccreds.so action=validate use_first_pass

# Kerberos validated our password.
auth optional pam_echo.so Kerberos validated
# Store the password hash.
auth optional pam_ccreds.so action=store use_first_pass
# See if we can mount user drives, since we have a Kerberos token.
auth optional pam_mount.so
auth optional pam_echo.so Done.

(Usando pam_echo.so apenas para depuração).

Isso parece funcionar bem para uma autenticação bem-sucedida. O mecanismo da subcompanha é conveniente, porque eu posso usar "suficiente" e "pronto" para terminar a sub-pilha sem terminar a pilha maior.

Mas, para falha na autenticação, a pilha maior continua (por exemplo, mdm chamará inutilmente pam_gnome_keyring.so , login chamará pam_group.so inutilmente) quando precisar morrer.

Existe uma maneira de chamar uma sub-pilha para que, se a sub-pilha falhar, a pilha morra? Eu tentei auth requisite substack krb5ldap-cache-auth , mas isso é apenas uma sintaxe PAM ruim.