Я пытаюсь настроить pam со следующими запросами:
Пока мне почти удается настроить pam таким образом, но когда я вхожу в учетную запись AD, когда она недоступна, pam пытается смонтировать домашний ресурс, который также недоступен.
Я думаю, что понял, как работают файлы конфигурации pam, и я протестировал много разных вещей, поэтому, если эксперт по pam захочет помочь, я буду очень благодарен
Вот файлы конфигурации pam:
/etc/pam.d/common-auth
# here are the per-package modules (the "Primary" block)
auth [success=4 default=ignore] pam_unix.so nullok_secure
auth [success=2 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth [success=2 default=ignore] pam_ccreds.so minimum_uid=1000 action=validate use_first_pass
# auth [success=2 default=ignore] pam_ccreds.so minimum_uid=1000 action=update
# here's the fallback if no module succeeds
auth requisite pam_deny.so
auth optional pam_mount.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_ccreds.so minimum_uid=1000 action=store
# end of pam-auth-update config
/etc/pam.d/common-session
# here are the per-package modules (the "Primary" block)
session [default=1] pam_permit.so
# here's the fallback if no module succeeds
session requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
session [success=ok default=1] pam_winbind.so
session [success=done default=ignore] pam_mount.so
session sufficient pam_ccreds.so
# end of pam-auth-update config
/etc/pam.d/common-session-noninterractive
session [default=1] pam_permit.so
# here's the fallback if no module succeeds
session requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
session sufficient pam_ccreds.so
Если вам нужна дополнительная информация, не стесняйтесь спрашивать. Заранее спасибо.
Мне удалось сделать то, что я хотел, с помощью модуля pam_exec.so, чтобы проверить, был ли сервер ActiveDirectory присоединен или нет. Вот файлы pam:
/etc/pam.d/common-auth
auth optional pam_exec.so log=/var/tmp/pam.log /bin/echo "-----AUTH------"
auth [success=5 default=ignore] pam_unix.so nullok_secure
auth [success=3 authinfo_unavail=ignore default=1] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth [success=4 default=ignore] pam_ccreds.so minimum_uid=1000 action=validate use_first_pass
auth [success=die default=die] pam_ccreds.so minimum_uid=1000 action=update
# here's the fallback if no module succeeds
auth requisite pam_deny.so
auth [success=1 default=die] pam_ccreds.so minimum_uid=1000 action=store
auth [success=4 default=die] pam_exec.so log=/var/tmp/pam.log /bin/echo "sucessfully log with unix"
session [success=ok default=2] pam_exec.so log=/var/tmp/script.log /bin/ping -c 1 ipaddress.to.AD.server
auth optional pam_mount.so
auth [success=1 default=die] pam_exec.so log=/var/tmp/pam.log /bin/echo "sucessfully log with winbind"
auth [default=die] pam_exec.so log=/var/tmp/pam.log /bin/echo "sucessfully log with ccreds"
auth required pam_permit.so
/etc/pam.d/common-account
account optional pam_exec.so log=/var/tmp/pam.log /bin/echo "-----ACCOUNT------"
account [success=ok new_authtok_reqd=done default=1] pam_unix.so
account [success=3] pam_exec.so log=/var/tmp/pam.log /bin/echo "Logged with Unix account"
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
account requisite pam_deny.so
account optional pam_exec.so log=/var/tmp/pam.log /bin/echo "Logged with winbind account"
account required pam_permit.so
/etc/pam.d/common-session
session optional pam_exec.so log=/var/tmp/pam.log /bin/echo "-----SESSION------"
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session [success=ok default=1] pam_unix.so
session [success=ok] pam_exec.so log=/var/tmp/pam.log /bin/echo "unix session started"
session [success=ok default=die] pam_winbind.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
session [success=ok default=2] pam_exec.so log=/var/tmp/script.log /bin/ping -c 1 ipaddress.to.AD.server
session optional pam_mount.so
session [success=done] pam_exec.so log=/var/tmp/pam.log /bin/echo "winbind session started + homedir mounted"
session optional pam_exec.so log=/var/tmp/pam.log /bin/echo "ccreds session started"
Вам просто нужно изменить IP-адрес в файле аутентификации и сеанса, чтобы он заработал. У вас будет персональный вход в / var / tmp / для пингов и эхо. Я думаю, что есть лучшие решения, чем мои, для решения этой проблемы, но я не нашел их.
Надеюсь, эти файлы conf помогут некоторым людям!