С pam_script, как мне передать PAM_AUTHTOK и PAM_USER во всех случаях?

Мне нужно запустить скрипт всякий раз, когда пользователь вводит пароль; сценарий должен иметь возможность отклонить этот пароль, но этого недостаточно.

Я поместил скрипт в /etc/pamunlockscript/pam_script_auth и добавил следующую строку в конце /etc/pam.d/common-auth :

auth required pam_script.so dir=/etc/pamunlockscript .

Согласно man 7 pam-script ,

 All the scripts will be passed several environment variables: PAM_USER, PAM_RUSER, PAM_RHOST, PAM_SERVICE, PAM_AUTHTOK, PAM_TTY, and PAM_TYPE referring to the module-type. 

Мой тестовый скрипт

 #!/bin/sh echo script: $PAM_AUTHTOK $PAM_USER 

Я ожидаю, что каждая программа, использующая pam для эхо- script: (my password) mic будет проверять мой пароль.

Это работает для login и i3lock , но сценарий повторяет script: для sudo .

Linux и Unix - лучшая ОС в мире.