[Comm] "pam_mount password:" - неаккуратненько как-то

Ср Июн 24 12:31:29 MSD 2009

22 июня 2009 г. 21:48 пользователь Dmitry V. Levin (ldv на altlinux.org) написал:
> Тут написано, что если вы добавляете что-то в стек после sufficient, то
> есть ненулевая вероятность того, что это что-то не будет выполнено.  Это
> утерждение верно, однако из него не следует, что необходимо что-то
> добавлять перед sufficient.

Именно это и следует, если верить мануалу:

>>        If you use pam_ldap, pam_winbind, or any other authentication
>> services that make use  of  PAM's
>>        sufficient keyword, model your configuration on the following order:

Перевод:
Если вы используете pam_ldap, pam_winbind или любой другой сервис
аутентификации, который использует опцию sufficient, ваш конфиг будет
выглядеть следующим образом:

>>               ・・・
>>               auth    required    pam_mount.so <-- Поставили в самом начале!!! До sufficient.
>>               auth    sufficient  pam_ldap.so use_first_pass
>>               auth    required    pam_unix.so use_first_pass
>>               ・・・

Т.е., получается, что pam_mount.so стоит первым, sufficient
pam_ldap.so - вторым и уже после них pam_unix.so (а в нашем случае
будет pam_tcb).

>> А вот если попытаться без затей
>> поставить pam_mount после остальных модулей, то пароль запрашивается
>> два раза. Причем даже при перезапуске демонов (веселуха service
>> network restart - введи пароль...). И это не решается использованием
>> опции use_first_pass.
>
> Вы хотите сказать, что pam_mount не поддерживает use_first_pass?

Именно это я и хочу сказать. Вряд ли была бы необходимость
использовать "[success=2 default=ignore]", если бы это было не так.

>> >> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
>> >> auth     requisite pam_succeed_if.so uid >= 500 quiet
>> >> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass
>> >> auth     optional       pam_mount.so
>> >
>> > Вы неправильно списали с pam_mount(8).  Чтобы понять, в чём ошибка,
>> > придётся прочитать и понять pam.conf(5).
>>
>> Ошибки нет. Этот вариант работает. Мой вопрос касается скорее
>> эстетики, чем функциональности...
>
> В этом варианте есть семантическая ошибка.  Попробуйте
> - залогиниться ldap-пользователем;
> - залогиниться несуществующим пользователем.

Попробовал. Никаких сюрпризов. Все работает. Может конкретно пояснить,
в каком месте "семантическая ошибка"?

> Дело в том, что формат pam.conf(5) желательно изучить для того, чтобы
> понимать, как работает та или иная конструкция.

Давайте не будем пальцы гнуть на ровном месте ;)
Повторяю, оба варианта рабочие. Настройки сделаны по аналогии с
мануалом (который я и процитировал). И если вы что-то заметили, не
соотв. другому ману, то поделитесь пожалуйста конкретикой, а не
посылайте искать черную кошку в темной комнате...

-- 
С уважением,
Черносов Денис