Синтаксис керування „success = n” у файлах pam.conf / pam.d / *

Після успішної настройки Kerberos, це те, що я знайшов у /etc/pam.d/common-authфайлі:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

Чи success=2означає значення керування, що в разі pam_unix.so відмови аутентифікація переходить до auth requisite pam_deny.soрядка або до останнього рядка?

З мого розуміння, success=$numуточнимо, скільки правил пропустити, коли буде успішно. Отже, якщо pam_unix.soабо pam_winbind.soвдасться, PAM перейде до фінальної лінії. Звичайно, підсумкова лінія дозволяє отримати доступ у всіх випадках.

pam.d (5) - сторінка man Linux

Для більш складних синтаксисів допустимі значення керування мають наступний вигляд:
[value1=action1 value2=action2 ...]
ActionN може бути: непідписане ціле число, n, що означає дію 'перехід через наступні n модулів у стеку'

Що говорить спільний автор:

1. Якщо локальна автентифікація UNIX повертає успіх , перейдіть два модулі до 4-го модуля (модуль 1 + 2 модуля для переходу -> модуль 4). В іншому випадку ігноруйте результат локальної автентичності та перейдіть до наступного модуля.
2. Якщо winbind (замінений на sssd в ці дні) з автентифікацією kerberos повертає успіх , перейдіть один модуль до модуля 4. В іншому випадку ігноруйте результат локальної auth та перейдіть до наступного модуля.
3. Заборонити запит на аутентифікацію Результат завершується, коли DENIED і PAM зупиняється там (дія, визначена для необхідного контролю).
4. Дозволити всіх. Результат доопрацьовується як PERMITTED, але переходить до наступного модуля (дія, визначена для необхідного контролю). Однак модуля для виконання не залишилося, тому він закінчується.