为什么我们在 PAM 中使用 optional，即使它会被忽略？

重要提示：可选模块不会被忽略，它们将被处理，它们的结果将被忽略，即即使它们失败，认证过程也不会中止。

在许多情况下，您可能希望在身份验证期间执行某个操作（要执行的模块），但即使在失败的情况下，您也不希望身份验证过程中止。

一个实际的例子是，如果您想使用 pam 在登录期间使用与用户密码相同的密码自动打开 dm-crypt 加密设备：

auth optional pam_exec.so expose_authtok quiet /usr/sbin/cryptsetup --allow-discards open UUID=... /home/username

请注意，如果required使用而不是optional此处，则第一次登录将成功，因为 cryptsetup 将返回 0 作为其退出代码，但如果用户注销然后再次登录，则登录将失败，因为设备已经打开并且 cryptsetup 将返回非零退出代码。然而，在这种情况下，您仍然希望登录成功。

这只是我想到的一个例子，因为我实际使用了它，也就是说，这不是理论上的情况，但这是您希望失败的模块不会中止身份验证过程的许多情况之一。

除了马塞洛的回答外，其他实际用途：

$ grep 'auth.*optional' /etc/pam.d -R
/etc/pam.d/lightdm:auth    optional        pam_gnome_keyring.so
/etc/pam.d/lightdm:auth    optional        pam_kwallet.so
/etc/pam.d/lightdm:auth    optional        pam_kwallet5.so
/etc/pam.d/gnome-screensaver:auth optional pam_gnome_keyring.so
/etc/pam.d/login:auth       optional   pam_faildelay.so  delay=3000000
/etc/pam.d/login:auth       optional   pam_group.so
/etc/pam.d/lightdm-greeter:auth    optional        pam_gnome_keyring.so
/etc/pam.d/lightdm-greeter:auth    optional        pam_kwallet.so
/etc/pam.d/lightdm-greeter:auth    optional        pam_kwallet5.so
/etc/pam.d/unity:auth optional pam_gnome_keyring.so

这些都来自 Ubuntu 16.04 VM，我从未接触过 PAM 配置（除了我安装的任何软件包可能有，我怀疑这些pam_kwallet*行来自哪里）。

• GNOME 密钥环和 KDE 钱包模块很容易理解：它们解锁您的登录密钥环，您的 SSH 和 GPG 密钥以及您的浏览器密码可能会保存在其中。
• pam_faildelay.so提供了一个很好的示例，即被忽略的模块仍然提供即时、明显的反馈：如果您输入了错误的密码，则让您等待。这是您通常用作的模块optional，因为成功或失败实际上并不重要。但！pam_faildelay.so仅支持auth，因此任何正常使用都可以auth optional。