[Comm] "pam_mount password:" - неаккуратненько как-то

[Денис Черносов]

24 июня 2009 г. 16:12 пользователь Dmitry V. Levin (ldv на altlinux.org) написал:
> On Wed, Jun 24, 2009 at 01:31:29PM +0500, Денис Черносов wrote:
> Какой смысл выполнять pam_mount.so до аутентификации (pam_tcb.so/pam_ldap.so)?
> Зачем вообще pam_mount.so помещать в стек аутентификации?

Если я монтирую ресурс, требующий аутентификации, то модулю pam_mount
нужен логин-пароль. Реальная аутентификация так и продолжает
происходить либо в pam_ldap либо в pam_tcb,  а pam_mount выступает в
роли прокси: запросил данные от своего имени, сохранил себе копию и
отправил далее по этапу.

Так я представляю себе эту ситуацию.


>> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
>> auth     requisite pam_succeed_if.so uid >= 500 quiet
>> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass
>> auth     optional       pam_mount.so

> Например, если pam_ldap.so в стеке auth вернул success, то
> какой модуль в стеке auth будет выполнен следующим?

Если я правильно расшифровываю, то [success=2 default=ignore]
означает, что при успешной авторизации pam_tcb отвечает success и
перескакивает через один модуль. Строчка requisite очевидно, не
считается (возможно она в таком случае вообще не сработает, но
поскольку не экспериментировал, утверждать не могу), а иначе ignore и
идем по порядку...

По порядку у нас [success=1 default=ignore] - если авторизация в ldap
(по полученным реквизитам из use_first_pass) успешна, то с результатом
success идем к следующему модулю. Если ignore, то на этом всё
прекращается, поскольку  pam_mount помечен, как optional, т.е.
вспомогательный.

Поправьте меня пожалуйста, где я неправ...

-- 
С уважением,
Черносов Денис