Cú pháp thành công = n Cú pháp kiểm soát trong các tệp pam.conf / pam.d / *

Sau khi cấu hình thành công Kerberos, đây là những gì tôi đã tìm thấy trong /etc/pam.d/common-authtệp:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

Liệu success=2giá trị kiểm soát có nghĩa là nếu pam_unix.so thất bại thì bỏ qua xác thực để các auth requisite pam_deny.sodòng hoặc dòng cuối cùng?

Theo hiểu biết của tôi, success=$numsẽ chỉ định có bao nhiêu quy tắc bỏ qua khi thành công. Vì vậy, nếu một trong hai pam_unix.sohoặc pam_winbind.sothành công, PAM sẽ bỏ qua dòng cuối cùng. Tất nhiên, dòng cuối cùng cho phép truy cập trong mọi trường hợp.

pam.d (5) - Trang người dùng Linux

Đối với các giá trị điều khiển hợp lệ cú pháp phức tạp hơn có dạng sau:
[value1=action1 value2=action2 ...]
ActionN có thể là: một số nguyên không dấu, n, biểu thị một hành động 'nhảy qua n mô-đun tiếp theo trong ngăn xếp'

Những gì chung-auth nói:

1. Nếu xác thực UNIX cục bộ trả về thành công , hãy nhảy hai mô-đun sang mô-đun thứ 4 (mô-đun 1 + 2 để nhảy -> mô-đun 4). Nếu không, bỏ qua kết quả của auth cục bộ và chuyển sang mô-đun tiếp theo.
2. Nếu winbind (được thay thế bằng sssd ngày nay) bằng xác thực kerberos trả về thành công , hãy nhảy một mô-đun sang mô-đun 4. Nếu không, hãy bỏ qua kết quả của auth cục bộ và chuyển sang mô-đun tiếp theo.
3. Từ chối yêu cầu xác thực. Kết quả được hoàn thành khi DENIED và PAM dừng ở đó (hành động được xác định cho kiểm soát cần thiết).
4. Cho phép tất cả. Kết quả được hoàn thành dưới dạng PERMITTED nhưng chuyển sang mô-đun tiếp theo (hành động được xác định cho điều khiển bắt buộc). Tuy nhiên không có mô-đun còn lại để thực thi, vì vậy nó kết thúc ở đó.