Hi,

Из-за ошибки, описанной в https://bugzilla.altlinux.org/show_bug.cgi?id=23643,
я заглянул в файлы /etc/pam.d/gdm*, и у меня появилось несколько вопросов,
в первую очередь, к мейнтейнерам пакетов gdm и gdm2.20.

1. Зачем там это:
auth required pam_env.so
Апстримный коммит GDM2_2_4_1_0-15-gfe11e53, добавляющий pam_env(8),
никак не обосновывает необходимость использования pam_env(8) в gdm.
Насколько я понимаю, если pam_env вообще имеет смысл использовать,
то это следует делать общесистемно (посредством system-auth) и с
параметром user_readenv=0.

2. Какой смысл в этом нововведении в gdm-2.30:
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
(другими словами, авторизовать пользователей, входящих в группу
nopasswdlogin, не спрашивая пароль, вне зависимости от того, есть
у них пароль или нет).
Апстримный коммит GDM_2_26_1-23-ge1f579a, добавляющий эту "фичу",
обосновывает её следующим образом:
http://git.altlinux.org/gears/g/..git?p=gdm.git;a=commitdiff;h=GDM_2_26_1-23-ge1f579a
Насколько я понимаю, общепринятым подходом для решения задачи авторизации
некоторых пользователей без ввода пароля является установка для них
пустого пароля.
P.S. Использовать sufficient вообще нужно с известной осторожностью.
Например, вышеупомянутый sufficient в случае срабатывания отключает
идущий далее pam_gnome_keyring.so

Я предлагаю обе эти строчки убрать.


-- 
ldv