On Fri, Jun 26, 2009 at 01:19:16AM +0400, Dmitry V. Levin wrote:
> On Thu, Jun 25, 2009 at 11:27:46AM +0500, Денис Черносов wrote:
> > 24 июня 2009 г. 16:12 пользователь Dmitry V. Levin (ldv@altlinux.org) написал:
> > > On Wed, Jun 24, 2009 at 01:31:29PM +0500, Денис Черносов wrote:
> > > Какой смысл выполнять pam_mount.so до аутентификации (pam_tcb.so/pam_ldap.so)?
> > > Зачем вообще pam_mount.so помещать в стек аутентификации?
> > 
> > Если я монтирую ресурс, требующий аутентификации, то модулю pam_mount
> > нужен логин-пароль. Реальная аутентификация так и продолжает
> > происходить либо в pam_ldap либо в pam_tcb,  а pam_mount выступает в
> > роли прокси: запросил данные от своего имени, сохранил себе копию и
> > отправил далее по этапу.
> > 
> > Так я представляю себе эту ситуацию.
> 
> Если модулю pam_mount нужен пароль, то ему нужно присутствовать в стеке
> аутентификации.  Но пока основные модули аутентификации не дали своё
> добро, pam_mount не должен вмешиваться.
> 
> Вы, конечно, правы в том, что использование sufficient вынуждает помещать
> pam_mount.so в стек перед sufficient.  Это значит, что вместо sufficient
> лучше использовать переходы, как предложил Andrew Morgan, только тогда надо
> указывать правильные значения для переходов.
> 
> Пожалуй, я попробую заменить в system-auth-* все sufficient на переходы.

Можете попробовать взять новые system-auth-* прямо из репозитория
http://git.altlinux.org/people/ldv/packages/?p=pam-config.git;a=tree;f=pam-config
добавить optional pam_mount.so в конец стеков auth и session,
потестировать и рассказать о впечатлениях.


-- 
ldv