La sintassi del controllo "success = n" nei file pam.conf / pam.d / *

16

Dopo aver configurato correttamente Kerberos, questo è quello che ho trovato nel /etc/pam.d/common-authfile:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

Il success=2valore di controllo indica che se pam_unix.so fallisce , l'autenticazione salta alla auth requisite pam_deny.soriga o all'ultima riga?

linux  pam 
Jamie
fonte

Risposte:

17

Dalla mia comprensione, success=$numspecificherò quante regole saltare quando ha successo. Quindi, se uno pam_unix.soo pam_winbind.soavere successo, PAM salterà alla linea finale. Naturalmente, la riga finale consente l'accesso in tutti i casi.

Ammonitore
fonte
Giusto per essere chiari; Le righe 1 e 2 passeranno alla riga 4 quando entrambe le operazioni hanno esito positivo. Ha senso.
Jamie,
Grazie per le risposte anche alle mie altre domande PAM: trasforma tutte le mie domande erano controverse; Avevo limitato gli accessi ssh a un particolare elenco di utenti e me ne ero dimenticato quando ho aggiunto l'autenticazione del dominio. Quando ho aggiunto Kerberos, ha modificato correttamente i file PAM per l'autenticazione AD.
Jamie,
2

pam.d (5) - Pagina man di Linux

Per la sintassi più complicata, i valori di controllo validi hanno la seguente forma:
[value1=action1 value2=action2 ...]
L'azioneN può essere: un numero intero senza segno, n, che indica un'azione di "saltare sui successivi n moduli nello stack"

Cosa dice l'autorità comune:

  1. Se l'autenticazione UNIX locale restituisce esito positivo , passare due moduli al quarto modulo (modulo 1 + 2 moduli per saltare -> modulo 4). Altrimenti ignora il risultato dell'autent locale e passa al modulo successivo.
  2. Se winbind (sostituito con sssd in questi giorni) con l'autenticazione Kerberos restituisce esito positivo , passa un modulo al modulo 4. Altrimenti ignora il risultato dell'autorizzazione locale e passa al modulo successivo.
  3. Rifiuta la richiesta di autenticazione. Il risultato è finalizzato come DENIED e PAM si ferma qui (l'azione definita per il controllo richiesto).
  4. Permetti tutto. Il risultato viene finalizzato come CONSENTITO ma passa al modulo successivo (l'azione definita per il controllo richiesto). Tuttavia non è rimasto alcun modulo da eseguire, quindi finisce qui.
mon
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.