In der folgenden PAM-Konfiguration für die Datei/etc/pam.d/system-auth
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
Wenn der erste Abschnitt ( auth) erfolgreich war, wird dann der zweite Abschnitt ( account) aufgerufen und geprüft? Und umgekehrt, wenn authder Abschnitt fehlgeschlagen ist, wird er dann accountaufgerufen?
In einem anderen Szenario, um zu betonen,meine größte Schwierigkeit, wenn wir mischen authundaccount, betrachten wir das folgende Beispiel:
auth sufficient pam_unix.so nullok try_first_pass
account required pam_unix.so
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_succeed_if.so uid < 500 quiet
Wie verhält sich PAM genau? Das verwirrt mich, und es wäre für mich eine große Hilfe, wenn mir das jemand erklären könnte.
Antwort1
PAM vermischt nicht Authentifizierung und Kontotyp, sondernstapelt sie unabhängigje nach Verwaltungstyp. Der Rückgabewert eines Stacks hängt von der Reihenfolge der Optionen und der Steuerflags ab, vgl.https://docs.oracle.com/cd/E19253-01/816-4557/pam-15/index.html
Was mit dem Ergebnis geschieht, hängt etwas von der Anwendung ab. Normalerweise validiert ein Programm wie login oder su einen Account erst nach einer erfolgreichen Authentifizierung.