Почему pam_mount запрашивает пароль?

Я использовал инструмент pam-auth-update , чтобы включить некоторые профили конфигурации pam:

  PAM configuration PAM profiles to enable: [*] encfs encrypted home directories [*] Unix authentication [*] Mount volumes for user [*] GNOME Keyring Daemon - Login keyring management [*] ConsoleKit Session Management 

Все функции работают так, как ожидалось, но есть одна вещь: Mount volumes for user параметра влияет на команду su .

Я добавил следующую строку в файл /etc/security/pam_mount.conf.xml :

 <volume user="morfik" fstype="fuse" path="encfs#/media/Server/Dropbox.encfs/Dropbox/encrypted" mountpoint="/media/Server/Dropbox" /> 

и когда я su morfik в терминале su morfik (как root), не должно быть никаких подсказок пароля, но я вижу это:

 # su morfik reenter password for pam_mount: 

Если я отключил Mount volumes for user параметра Mount volumes for user в меню выше, все кажется файлом, и reenter password исчезнет. Я пытался играть с файлами /etc/pam.d/ , но у меня нет опыта работы с PAM, и я не смог заставить его работать.

Кто-нибудь знает, что должно быть изменено в этих файлах?

UPDATE # 1

Это содержимое каталога /etc/pam.d :

 # ls -al /etc/pam.d/ total 104K drwxr-xr-x 2 root root 4.0K Mar 21 16:21 ./ drwxr-xr-x 153 root root 12K Mar 21 16:11 ../ -rw-r--r-- 1 root root 197 Sep 8 2013 atd -rw-r--r-- 1 root root 384 May 25 2012 chfn -rw-r--r-- 1 root root 92 May 25 2012 chpasswd -rw-r--r-- 1 root root 581 May 25 2012 chsh -rw-r--r-- 1 root root 1.2K Mar 20 17:35 common-account -rw-r--r-- 1 root root 1.3K Mar 20 17:35 common-auth -rw-r--r-- 1 root root 1.5K Mar 20 17:35 common-password -rw-r--r-- 1 root root 1.3K Mar 20 17:35 common-session -rw-r--r-- 1 root root 1.2K Mar 20 17:35 common-session-noninteractive -rw-r--r-- 1 root root 527 Jul 3 2012 cron -rw-r--r-- 1 root root 69 Jul 16 2013 cups-daemon -rw-r--r-- 1 root root 4.8K Mar 5 10:18 login -rw-r--r-- 1 root root 92 May 25 2012 newusers -rw-r--r-- 1 root root 520 Jul 22 2008 other -rw-r--r-- 1 root root 147 Feb 13 07:15 passwd -rw-r--r-- 1 root root 255 Oct 15 18:40 polkit-1 -rw-r--r-- 1 root root 84 Dec 27 12:40 samba -rw-r--r-- 1 root root 2.1K Feb 15 03:11 sshd -rw-r--r-- 1 root root 2.3K May 25 2012 su -rw-r--r-- 1 root root 95 Jan 15 22:58 sudo -rw-r--r-- 1 root root 108 Oct 19 23:42 xscreensaver 

Нет файла /etc/pam.d/system-auth .

Я проверил, какие файлы имеют pam_mount в своем контенте, и я получил следующее:

 # egrep -i pam_mount * common-auth:auth optional pam_mount.so common-session:session optional pam_mount.so 

Содержимое файлов:

 # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (eg, /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) auth sufficient pam_encfs.so auth [success=1 default=ignore] pam_unix.so nullok_secure try_first_pass # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) auth optional pam_mount.so # end of pam-auth-update config 

а также:

 # # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # and here are more per-package modules (the "Additional" block) session required pam_unix.so session optional pam_mount.so session optional pam_ck_connector.so nox11 # end of pam-auth-update config 

UPDATE # 2

Я использую тестирование Debian. Я попытался изменить положение pam_mount , но это всегда одно и то же. Я прочитал несколько разделов руководства, и было что-то вроде:

  When "sufficient" is used in the second column, you must make sure that pam_mount is added before this entry. Otherwise pam_mount will not get executed should a previous PAM module succeed. Also be aware of the "include" statements. These make PAM look into the specified file. If there is a "sufficient" statement, then the pam_mount entry must either be in the included file before the "sufficient" statement or before the "include" statement. 

Я даже добавил pam_mount в файл /etc/pam.d/su чтобы проверить, не имеет значения, но это не имеет значения. Если pam_mount если сначала, как они говорят, вместо приглашения пароля, я получаю pam_mount password при входе в систему, и он по-прежнему запрашивает пароль при попытке su morfik

  • Разрешить su без пароля для пользователей в определенной группе Active Directory при использовании pam_winbind
  • Как автоматически ввести льготный период sudo при входе в CLI?
  • Соответствие правилам PAM для Debian и CentOS
  • что действительно делает pam_env.so?
  • Ограничьте время, когда пользователю разрешено входить в систему
  • Ldap SSH Login не работает - одинаковые конфигурации работают на 20+ других серверах - Ubuntu
  • PAM и fprintd
  • Установка каталога samba изменяет все права доступа к файлам для пользователя, который его монтировал
  • 2 Solutions collect form web for “Почему pam_mount запрашивает пароль?”

    Иди в эту же проблему.

    Оказывается, проблема решена путем добавления опции disable_interactive рядом с pam_mount.so в конфигурационных файлах ( /etc/pam.d/common-{auth,session} ).

    Он появляется сразу после pam_mount.so и параметры разделяются пробелами (из so имени файла и между двумя опциями).

    Когда код pam_mount.so запускается при входе в систему, он будет получать пароль из верхней части стека и использовать этот пароль для расшифровки вашего тома.

    Когда вы выполняете su из корневого сеанса, пароль не требуется, и поэтому pam_mount.so не получит пароль. Таким образом, без параметра disable_interactive он попытается получить пароль.

    К счастью, как вы видите на странице https://sourceforge.net/p/pam-mount/pam-mount/ci/master/tree/src/pam_mount.c , строка 493, pam_mount попытается продолжить работу даже без пароля, что хорошо, потому что пароль не нужен, если громкость уже разблокирована и смонтирована.

    Общее предположение, но посмотрите на свои файлы /etc/pam.d/* и убедитесь, что любые конфигурации PAM, связанные с pam_mount , настроены следующим образом:

     auth optional pam_mount.so ... auth include system-auth use_first_pass ... session optional pam_mount.so 

    Это, похоже, подкреплено pam_mount.conf страницей pam_mount.conf :

    выдержка

     Messages <msg-authpw>pam_mount password:</msg-authpw> When pam_mount cannot obtain a password through PAM, or is configured to not do so in the first place, and is configured to ask for a password interactively as a replacement, this prompt will be shown. <msg-sessionpw>reenter...:</msg-sessionpw> In case the 'session' PAM block does not have the password (eg on su from root to user), it will ask again. This prompt can also be customized. на Messages <msg-authpw>pam_mount password:</msg-authpw> When pam_mount cannot obtain a password through PAM, or is configured to not do so in the first place, and is configured to ask for a password interactively as a replacement, this prompt will be shown. <msg-sessionpw>reenter...:</msg-sessionpw> In case the 'session' PAM block does not have the password (eg on su from root to user), it will ask again. This prompt can also be customized. 

    ПРИМЕЧАНИЕ . Порядок конфигурационных файлов /etc/pam.d/* также упоминается здесь в этом разделе ArchLinux Wiki под названием « Pam mount» .

    Рекомендации

    • Зачем мне вводить пароль для pam_mount?
    • pam mount – моя подсказка пароля теперь говорит пароль pam_mount:
    Interesting Posts

    Yum update / install для любого пакета дает мне следующую ошибку. Какие действия я должен предпринять, чтобы преодолеть это?

    Как сравнить две строки в двух отдельных файлах?

    Получить список каталогов в иерархии, которые содержат только символические ссылки

    Что означает стек в связи с процессом?

    Присоединенные трубопроводы

    Как установить часовой пояс КНТ без дневного периода?

    Почему ошибки OS X `install` на перенаправленном входе, когда одна и та же версия` install` на linux работает нормально?

    set -u использование не работает как ожидалось

    Google хост становится недоступным после пинга 10-12 раз

    Shell Script для изменения языка не имеет эффекта

    Как установить syslinux на SD-карту

    Разрешение имени хоста занимает 5 секунд

    Как я могу управлять puppet.conf с помощью Puppet?

    Какая утилита читает заголовки LSB в сценариях инициализации System V?

    Разница между файлами в каталоге

    Linux и Unix - лучшая ОС в мире.