Como funcionam as opções avançadas do PAM, exatamente?

Os módulos PAM têm mais de 30 valores de retorno diferentes que são mapeados para aprovação ou reprovação de toda a pilha PAM, conforme declarado pela configuração.

Vale ressaltar que um módulo PAM pode se comportar diferente dependendo do contexto (autenticação, conta, senha, sessão) em que é chamado.

Os pares de valor = ação entre colchetes descrevem qual ação tomar para cada valor de retorno possível do módulo PAM.

Uma boa explicação de valores e ações pode ser encontrada lendo atentamente a página acima mencionada até o final.

• success=oko módulo retornou com sucesso, isso será honrado na avaliação de toda a pilha PAM, se nenhum módulo anterior falhou, considere passar para toda a pilha até este ponto.
• new_authtok_reqd=okum novo token de autenticação é necessário. Por exemplo, no contexto da sessão , isso pode fazer com que o usuário altere sua senha.
• ignore=ignoreo módulo PAM quer que seu resultado seja ignorado, então nós o ignoramos.
• default=badtodos os outros resultados fazem com que a pilha PAM falhe (mas não pare de processar os módulos subseqüentes)

O que acontece se o módulo retornar sucesso e um outro token?

Os módulos PAM retornam apenas um único valor.

Por fim, também não consigo encontrar a resposta para esta pergunta: todo valor ok, done, bad, die, ignore, reset, N pode ser associado a qualquer ação? O que significaria mesmo dizer

[default=done] ?

Isso significa: qualquer token não mencionado aqui (ou seja, todos os tokens possíveis) encerra o processamento da pilha PAM e retorna o resultado até o momento.

Em primeiro lugar, ua2b forneceu a resposta crítica que estava causando minha confusão:

Os módulos PAM só podem retornar um único valor de status por chamada

Como os módulos só podem retornar um código de status, fica claro que a ação para qualquer conjunto de parênteses de valor/ação não é ambígua. Achei que um módulo poderia retornar vários códigos de status de uma só vez ( com base na leitura de vários documentos ), daí minha confusão. Espanta-me que nenhuma referência que encontrei, incluindo a documentação oficial , seja capaz de afirmar isso claramente. Em vez disso, encontram-se comentários como este:

" Um ou mais códigos de status são retornados por cada rotina PAM-API. "

Isso para mim parece que um módulo pode retornar vários códigos de status. Foi somente depois de ler o guia do desenvolvedor do módulo PAM que percebi que os códigos de status são retornados como um único número inteiro que mapeia para os possíveis valores de código de status conforme descrito aqui (Sim, a mesma referência!)

Minha próxima pergunta tinha a ver com igualar a palavra-chave do sinalizador de controle de estilo antigo necessária com esta sintaxe de colchetes:

[success=ok new_authtok_reqd=ok ignore=ignore default=bad]

Essa equivalência é repetida em todo lugar, por exemplo aqui .

Acontece que isso é um absurdo completo e absoluto. Os códigos de status retornados por qualquer módulo em particular podem diferir e diferir novamente dependendo do tipo de grupo de gerenciamento (por exemplo, autenticação versus conta).

Tomemos, por exemplo, o módulo pam_securetty . Este módulo fornece apenas o tipo de autenticação e tem os seguintes valores de retorno de código de status possíveis:

PAM_SUCCESS
PAM_AUTH_ERR
PAM_INCOMPLETE
PAM_SERVICE_ERR
PAM_USER_UNKNOWN

O ignore=ignoremapeamento de valor/ação consequentemente parece ser inútil, já que este módulo nunca retorna ignore. Nesse caso, você pode querer considerar o uso user_unknown=ignorese de fato quiser ignorar o resultado se o usuário não puder ser encontrado.