En la siguiente configuración PAM para el archivo/etc/pam.d/system-auth
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
Si la primera sección ( ) tuvo éxito, ¿ se llamará y verificará authla segunda sección ( )? accountY por el contrario, si authla sección falla, ¿lo accountllamarán?
En otro escenario, para enfatizarmi principal dificultad, si nos mezclamos authyaccount, tomemos el siguiente ejemplo:
auth sufficient pam_unix.so nullok try_first_pass
account required pam_unix.so
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_succeed_if.so uid < 500 quiet
¿Cómo se comportará PAM exactamente? Estoy confundido acerca de eso y sería de gran ayuda para mí si alguien pudiera explicármelo.
Respuesta1
PAM no combina autenticación y tipo de cuenta, sino más bienlos apila de forma independientesegún el tipo de gestión. El valor de retorno de una pila depende del orden de las opciones y de los indicadores de control, cf.https://docs.oracle.com/cd/E19253-01/816-4557/pam-15/index.html
Lo que se haga con el resultado depende un poco de la aplicación. Normalmente, un programa como login o su valida una cuenta sólo después de una autenticación exitosa.