pam.conf / pam.d / * 파일의“성공 = n”제어 구문


16

Kerberos를 성공적으로 구성한 후 이것이 /etc/pam.d/common-auth파일 에서 찾은 것입니다 .

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

않는다 success=2(가) 경우 제어 값은 의미가 pam_unix.so 실패 받는 사람, 인증 건너 뛰 auth requisite pam_deny.so줄이나 마지막 줄에를?

답변:


17

이해 success=$num하면 성공했을 때 건너 뛸 규칙 수를 지정합니다. 하나 경우에 따라서 pam_unix.so또는 pam_winbind.so성공, PAM은 마지막 줄에 건너 뜁니다. 물론 마지막 줄은 모든 경우에 액세스를 허용합니다.


분명히하기 위해; 1과 2 행은 성공하면 4 행으로 건너 뜁니다. 말이된다.
Jamie

다른 PAM 질문에 대한 답변도 감사합니다. 모든 질문이 불완전합니다. ssh 로그인을 특정 사용자 목록으로 제한하고 도메인 인증을 추가했을 때 잊어 버렸습니다. Kerberos를 추가하면 AD 인증을 위해 PAM 파일이 올바르게 수정되었습니다.
Jamie

2

pam.d (5)-Linux 매뉴얼 페이지

보다 복잡한 구문의 경우 유효한 제어 값의 형식은 다음과 같습니다
[value1=action1 value2=action2 ...]
. actionN은 다음과 같습니다. 부호없는 정수 n은 '스택의 다음 n 개 모듈에 대한 점프'동작을 나타냅니다.

공동 저자의 말 :

  1. 로컬 UNIX 인증이 성공으로 리턴 되면 두 모듈을 4 번째 모듈로 이동하십시오 (모듈 1 + 2 모듈은 점프-> 모듈 4). 그렇지 않으면 로컬 인증 결과를 무시하고 다음 모듈로 이동하십시오.
  2. kerberos 인증을 사용하여 winbind (요즘 sssd로 교체 됨)가 success를 반환 하면 한 모듈을 모듈 4로 건너 뜁니다. 그렇지 않으면 로컬 인증 결과를 무시하고 다음 모듈로 이동하십시오.
  3. 인증 요청을 거부하십시오. 결과는 DENIED로 확정되고 PAM이 중지됩니다 (필수 제어를 위해 정의 된 작업).
  4. 모두 허용하십시오. 결과는 허용됨으로 확정되지만 다음 모듈 (필요한 제어를 위해 정의 된 동작)로 이동합니다. 그러나 실행할 모듈이 없으므로 거기서 끝납니다.
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.