Andrej Rzhavskov пишет:
> /etc/pam.d/common-account следующее:
>
> account required pam_unix.so
> account sufficient pam_succeed_if.so uid < 1000 quiet
> account [default=bad success=ok user_unknown=ignore] pam_ldap.so
> account required pam_permit.so
Но так как контролирующий флаг PAM-модуля pam_unix.so равен required,
следующий в цепочке
будет выполнен PAM-модуль *pam_succeed_if.so uid < 1000 quiet *-* *на
нем все и закончится, так *
*
флаг sufficient будет выполнен только тогда, когда pam_unix.so вернет
PAM_SUCCESS.
А если id пользователя больше или равен 1000, то есть это обычный
пользователь? Тогда правила должны ведь выполняться дальше, и далее идёт
правило с флагами [default=bad success=ok user_unknown=ignore], если я
правильно понимаю, то success=ok не отменяет предыдущую неудачу (то есть
что пользователя нет в /etc/passwd). Вот если pam_unix.so в случае
отсутствия пользователя в /etc/passwd для account возвращает
PAM_SUCCESS, тогда всё было бы понятно, но в документации я этого не
нашёл, или, другой вариант, может наличие пользователя определяется не
только обращением к /etc/passwd, видимо здесь без изучения исходников
pam_unix не разобраться :-)
С уважением Александр
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
