Pam.conf / pam.d / * dosyalarındaki “success = n” kontrol sözdizimi

Kerberos'u başarıyla yapılandırdıktan sonra, /etc/pam.d/common-authdosyada bulduğum şey bu :

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

success=2Kontrol değeri pam_unix.so başarısız olursa , kimlik doğrulamanın auth requisite pam_deny.sohatta veya son satıra atladığı anlamına mı geliyor ?

Anladığım kadarıyla, success=$numbaşarılı olduğunda kaç kuralın atlanacağını belirleyecektir. Bu yüzden pam_unix.soya pam_winbind.sobaşarılı olursa , PAM son satıra atlayacaktır. Tabii ki, son hat her durumda erişime izin verir.

pam.d (5) - Linux el sayfası

Daha karmaşık sözdizimi için geçerli denetim değerleri aşağıdaki forma sahiptir:
[value1=action1 value2=action2 ...]
actionN şu şekilde olabilir: işaretsiz bir tam sayı, n, 'yığındaki sonraki n modüllerin üzerinden atla' eylemini gösterir

Ortak kimlik doğrulaması ne diyor:

1. Yerel UNIX kimlik doğrulaması başarılı olursa , iki modülü 4. modüle atlayın (atlamak için modül 1 + 2 modülleri -> modül 4). Aksi takdirde, yerel yetkilendirmenin sonucunu dikkate almayın ve bir sonraki modüle geçin.
2. Kerberos kimlik doğrulaması ile winbind (bu günlerde sssd ile değiştirilir) başarılı olursa , bir modülü 4. modüle atlayın. Aksi takdirde, yerel yetkilendirmenin sonucunu dikkate almayın ve bir sonraki modüle geçin.
3. Kimlik doğrulama isteğini reddet. Sonuç DENIED olarak sonuçlandırılır ve PAM burada durur (gerekli kontrol için tanımlanmış eylem).
4. Tümüne izin ver. Sonuç İZNİ olarak sonlandırılır, ancak bir sonraki modüle (gerekli kontrol için tanımlanmış eylem) gider. Ancak, çalıştırılacak bir modül kalmamıştır, bu yüzden orada biter.