|
Un saluto a tutta la lista. Stavo cercando di studiare linux-pam e sono
incappato in un dubbio. Sul sito di pam, la guida riporta: "The service is typically the familiar name of the corresponding application: login and su are good examples. The service-name, other, is reserved for giving default rules. Only lines that mention the current service (or in the absence of such, the other entries) will be associated with the given service-application. " Ora la mia domanda è: l'utilizzo di other per specificare una politica di default, viene presa in considerazione solo se non viene trovato un file per uno specifico programma, oppure viene applicata anche quando viene trovato il file per una specifica applicazione, per esempio chfn, ma nel quale non è presente uno dei moduli auth, password, account o session. Faccio un esempio: supponendo di avere un /etc/pam.d/other configurato in questa modalita: auth required pam_unix.so password required pam_unix.so account required pam_unix.so session required pam_unix.so e supponendo di avere un file /etc/pam.d/chfn in questa modalita: auth sufficient pam_rootok.so auth required pam_unix.so shadow md5... password required pam_cracklib.so retry=3 password required pam_unix.so shadow..... session required pam_unix.so lanciando chfn da un semplice user, il tutto funziona correttamente. Ora, supponendo invece di avere un /etc/pam.d/other cosi: auth required pam_deny.so password required pam_deny.so account required pam_deny.so session required pam_deny.so e il precedente chfn con la stessa configurazione, lanciando il comando chfn da user, dopo l'inserimento della password, viene riportato PAM authentication failed. Inserendo, pero, in /etc/pam.d/chfn: account required pam_unix.so chfn funziona a dovere. Quindi, facendo riferimento all'esempio, avendo una politica deny in other, se nel file /etc/pam.d/chfn viene a mancare, come in questo caso, la direttiva account, pam applica la direttiva account di /etc/pam.d/other? Lo stesso comportamento si verifica anche con chsh. Grazie in anticipo |