On Thu, Jun 25, 2009 at 11:27:46AM +0500, Денис Черносов wrote: > 24 июня 2009 г. 16:12 пользователь Dmitry V. Levin (ldv@altlinux.org) написал: > > On Wed, Jun 24, 2009 at 01:31:29PM +0500, Денис Черносов wrote: > > Какой смысл выполнять pam_mount.so до аутентификации (pam_tcb.so/pam_ldap.so)? > > Зачем вообще pam_mount.so помещать в стек аутентификации? > > Если я монтирую ресурс, требующий аутентификации, то модулю pam_mount > нужен логин-пароль. Реальная аутентификация так и продолжает > происходить либо в pam_ldap либо в pam_tcb, а pam_mount выступает в > роли прокси: запросил данные от своего имени, сохранил себе копию и > отправил далее по этапу. > > Так я представляю себе эту ситуацию. Если модулю pam_mount нужен пароль, то ему нужно присутствовать в стеке аутентификации. Но пока основные модули аутентификации не дали своё добро, pam_mount не должен вмешиваться. Вы, конечно, правы в том, что использование sufficient вынуждает помещать pam_mount.so в стек перед sufficient. Это значит, что вместо sufficient лучше использовать переходы, как предложил Andrew Morgan, только тогда надо указывать правильные значения для переходов. Пожалуй, я попробую заменить в system-auth* все sufficient на переходы. > >> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok > >> auth     requisite pam_succeed_if.so uid >= 500 quiet > >> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass > >> auth     optional       pam_mount.so > > > Например, если pam_ldap.so в стеке auth вернул success, то > > какой модуль в стеке auth будет выполнен следующим? > > Если я правильно расшифровываю, то [success=2 default=ignore] > означает, что при успешной авторизации pam_tcb отвечает success и > перескакивает через один модуль. Нет. Давайте почитаем pam.conf(5) вместе. Там написано, что "The actionN can be: an unsigned integer, n, signifying an action of ’jump over the next n modules in the stack’". Как правильно перевести фразу "jump over the next n modules in the stack" при n == 2? -- ldv