Re: PAM с LDAP

To: debian-russian@lists.debian.org
Subject: Re: PAM с LDAP
From: "Alexander S. Kharitonov" <askh@askh.ru>
Date: Mon, 06 Jul 2009 10:09:36 +0400
Message-id: <[🔎] 4A519520.70408@askh.ru>
In-reply-to: <[🔎] 1195410367.1246856381.79235032.91970@mcgi74.rambler.ru>
References: <[🔎] 4A50E773.4030403@askh.ru> <[🔎] 1195410367.1246856381.79235032.91970@mcgi74.rambler.ru>

Andrej Rzhavskov пишет:

     > /etc/pam.d/common-account следующее:
     >
     > account required pam_unix.so
     > account sufficient pam_succeed_if.so uid < 1000 quiet
     > account [default=bad success=ok user_unknown=ignore] pam_ldap.so
     > account required pam_permit.so

Но так как контролирующий флаг PAM-модуля pam_unix.so равен required,следующий в цепочкебудет выполнен PAM-модуль *pam_succeed_if.so uid < 1000 quiet *-* *нанем все и закончится, так *
*
флаг sufficient будет выполнен только тогда, когда pam_unix.so вернетPAM_SUCCESS.

А если id пользователя больше или равен 1000, то есть это обычныйпользователь? Тогда правила должны ведь выполняться дальше, и далее идётправило с флагами [default=bad success=ok user_unknown=ignore], если яправильно понимаю, то success=ok не отменяет предыдущую неудачу (то естьчто пользователя нет в /etc/passwd). Вот если pam_unix.so в случаеотсутствия пользователя в /etc/passwd для account возвращаетPAM_SUCCESS, тогда всё было бы понятно, но в документации я этого ненашёл, или, другой вариант, может наличие пользователя определяется нетолько обращением к /etc/passwd, видимо здесь без изучения исходниковpam_unix не разобраться :-)


С уважением Александр

Reply to:

References:
- PAM с LDAP
  - From: "Alexander S. Kharitonov" <askh@askh.ru>
- Re: PAM с LDAP
  - From: Andrej Rzhavskov <rjaan@rambler.ru>

Prev by Date: Re: PAM с LDAP
Next by Date: Re: Проблемы со свободнымпространством,с работойсвиндовским диском D
Previous by thread: Re: PAM с LDAP
Next by thread: Re: PAM с LDAP
Index(es):
- Date
- Thread