Как сделать PAM-заменитель «реквизитом»?

Для раздела auth моей конфигурации PAM, login и mdm и т. Д. mdm common-auth . У меня есть common-auth вызывающий следующее в качестве подкласса (как auth substack krb5ldap-cache-auth ):

 auth optional pam_echo.so Trying UNIX # Try UNIX, empty passwords OK auth sufficient pam_unix.so nullok auth optional pam_echo.so Checking UID # If the uid < 500 and UNIX didn't work, then die. auth requisite pam_succeed_if.so uid >= 500 quiet_success auth optional pam_echo.so Trying Kerberos # Try Kerberos, using the same password # If the password is correct (success), then skip next lines # If the password is wrong (auth_err), then die # If Kerberos can't connect (?), then ignore auth [success=2 auth_err=die default=ignore] pam_krb5.so debug use_first_pass # Try the cache, using the same password # Last chance. auth optional pam_echo.so Trying cache auth [success=done default=die] pam_ccreds.so action=validate use_first_pass # Kerberos validated our password. auth optional pam_echo.so Kerberos validated # Store the password hash. auth optional pam_ccreds.so action=store use_first_pass # See if we can mount user drives, since we have a Kerberos token. auth optional pam_mount.so auth optional pam_echo.so Done. 

(Использование pam_echo.so только для отладки.)

Это, похоже, отлично подходит для успешной аутентификации. Механизм подстановки удобен, потому что я могу использовать «достаточный» и «сделанный», чтобы завершить подставку, не заканчивая большой стек.

Но для отказа от аутентификации больший стек продолжается (например, mdm бесполезно вызывает pam_gnome_keyring.so , login будет бесполезно вызывать pam_group.so ), когда он должен умереть.

Есть ли способ вызвать подвал так, чтобы, если подстановка не удалась, стек умрет? Я попробовал auth requisite substack krb5ldap-cache-auth но это просто плохой синтаксис PAM.

One Solution collect form web for “Как сделать PAM-заменитель «реквизитом»?”

Из руководства администратора PAM:

substack

Включите все строки заданного типа из файла конфигурации, указанного в качестве аргумента для этого элемента управления. Это отличается от include в том, что оценка выполненных действий и действий штампа в подвале не вызывает пропусков остальной части полного пакета модулей, но только подставок.

Читая свой вопрос, мне кажется, что вы ищете include а не substack . Поэтому вы, вероятно, должны заменить …

 auth substack krb5ldap-cache-auth 

с…

 auth include krb5ldap-cache-auth 

Однако в системе Debian вам, возможно, придется использовать это:

 @include krb5ldap-cache-auth 

Кроме того, в системах и деривативах RedHat вам может pam_stack использовать pam_stack , который часто считается устаревшим (я полагаю, из-за проблем с обработкой включают рекурсии):

 auth requisite pam_stack.so service=krb5ldap-cache-auth 

В этих случаях, если что-либо вызывает действие done или die в krb5ldap-cache-auth , PAM положит конец всему стеку , а не только подстановку.

  • dyanamically создание каталогов с pam_mkhomedir и mysql для vsftpd
  • Debian игнорирует переменные env PAM (в то время как Arch не работает)
  • Могу ли я создать гостевую учетную запись только для местных пользователей?
  • Как аутентифицировать учетные записи Linux с помощью PAM с использованием PHP без предоставления тэга www-data
  • Отказ в доступе к PAM запрещен
  • Как найти и переместить текстовую строку внутри файла?
  • Как создать защиту паролей с несколькими уровнями для одного пользователя
  • SFTP с паролем пользователя MySQL вместо PAM
  • Как сообщить текущее использование для пользователя на ulimits aka pam_limits и т. Д.?
  • Успешно используйте time.conf
  • Не удалось определить ваше имя tty в Debian Wheezy на ARM
  • Как добавить всех членов netgroup в группу
  • Interesting Posts

    Не удалось загрузить libGLESv2.so.2: libGLESv2.so.2: невозможно открыть файл общих объектов: нет такого файла или каталога

    Как исправить поврежденное выполнение bash в подстановке команд?

    «Сеть недоступна», github, bitbucket не работает

    Вывод, который будет сохранен в файле с именем, аналогичным входному файлу

    Где используется @ перед строкой даты за секунды с момента задокументированной эпохи?

    Как восстановить пароль пользователя linux?

    apt-get install – куда он идет?

    Emacs ediff не поддерживает прокрутки буферов одинаково

    / var имеет большую часть пространства на диске. Нужно / иметь большую часть

    Maildir и mailutils?

    В Debian blu-ray и dvd есть 3 диска, какова цель Blu-ray дисков?

    Регистрация исходящих соединений по мере их возникновения

    добавьте несколько строк в начале и в нижней части строки, поступающей из файла read

    Как изменить загрузочное ядро ​​usb live w / persistent running Kali

    Туннелирование трафика IPv6 из SLIP в Linux

    Linux и Unix - лучшая ОС в мире.