Andrej Rzhavskov пишет:
> /etc/pam.d/common-account следующее: > > account required pam_unix.so > account sufficient pam_succeed_if.so uid < 1000 quiet > account [default=bad success=ok user_unknown=ignore] pam_ldap.so > account required pam_permit.so
Но так как контролирующий флаг PAM-модуля pam_unix.so равен required, следующий в цепочке будет выполнен PAM-модуль *pam_succeed_if.so uid < 1000 quiet *-* *на нем все и закончится, так **флаг sufficient будет выполнен только тогда, когда pam_unix.so вернет PAM_SUCCESS.
А если id пользователя больше или равен 1000, то есть это обычный пользователь? Тогда правила должны ведь выполняться дальше, и далее идёт правило с флагами [default=bad success=ok user_unknown=ignore], если я правильно понимаю, то success=ok не отменяет предыдущую неудачу (то есть что пользователя нет в /etc/passwd). Вот если pam_unix.so в случае отсутствия пользователя в /etc/passwd для account возвращает PAM_SUCCESS, тогда всё было бы понятно, но в документации я этого не нашёл, или, другой вариант, может наличие пользователя определяется не только обращением к /etc/passwd, видимо здесь без изучения исходников pam_unix не разобраться :-)
С уважением Александр