ไวยากรณ์ของการควบคุม“ success = n” ในไฟล์ pam.conf / pam.d / *

หลังจากกำหนดค่า Kerberos ได้สำเร็จนี่คือสิ่งที่ฉันพบใน/etc/pam.d/common-authไฟล์:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

ที่ไม่success=2คุ้มค่าการควบคุมหมายความว่าถ้าpam_unix.so ล้มเหลวในการรับรองความถูกต้องข้ามไปยังauth requisite pam_deny.soเส้นหรือเส้นสุดท้าย?

จากความเข้าใจของฉันsuccess=$numจะระบุจำนวนกฎที่จะข้ามเมื่อประสบความสำเร็จ ดังนั้นถ้าอย่างใดอย่างหนึ่งpam_unix.soหรือpam_winbind.soประสบความสำเร็จ PAM จะข้ามไปยังบรรทัดสุดท้าย แน่นอนบรรทัดสุดท้ายอนุญาตให้เข้าถึงได้ในทุกกรณี

pam.d (5) - หน้า man Linux

สำหรับค่าการควบคุมที่ถูกต้องของไวยากรณ์ที่ซับซ้อนยิ่งขึ้นมีรูปแบบดังต่อไปนี้:
[value1=action1 value2=action2 ...]
actionN สามารถเป็น: จำนวนเต็มที่ไม่มีเครื่องหมาย, n, หมายถึงการกระทำของ 'ข้ามโมดูล n ถัดไปในสแต็ก'

สิ่งที่คนทั่วไปรับรองว่า:

1. หากการพิสูจน์ตัวตน UNIX ในระบบกลับสู่ความสำเร็จให้ข้ามสองโมดูลไปยังโมดูลที่ 4 (โมดูล 1 + 2 โมดูลเพื่อข้าม -> โมดูล 4) มิฉะนั้นจะเพิกเฉยต่อผลลัพธ์ของการรับรองความถูกต้องภายในเครื่องและย้ายไปยังโมดูลถัดไป
2. หาก winbind (แทนที่ด้วย sssd ทุกวันนี้) ด้วยการรับรองความถูกต้องของ kerberos จะส่งคืนสำเร็จให้กระโดดหนึ่งโมดูลไปยังโมดูล 4 มิฉะนั้นเพิกเฉยต่อผลลัพธ์ของการรับรองความถูกต้องภายในเครื่องและย้ายไปยังโมดูลถัดไป
3. ปฏิเสธคำขอตรวจสอบสิทธิ์ ผลลัพธ์จะสรุปได้เมื่อ DENIED และ PAM หยุดอยู่ที่นั่น (การกระทำที่กำหนดไว้สำหรับการควบคุมที่จำเป็น)
4. ใบอนุญาตทั้งหมด ผลลัพธ์ถูกสรุปเป็น PERMITTED แต่ย้ายไปยังโมดูลถัดไป (การกระทำที่กำหนดไว้สำหรับการควบคุมที่จำเป็น) อย่างไรก็ตามไม่มีโมดูลเหลือให้ดำเนินการดังนั้นจึงสิ้นสุดที่นั่น