저는 이제 막 RHCE를 공부하기 시작했습니다. PAM 구성 주제에 관해 다음 단락을 보고 약간 혼란스러워졌습니다 /etc/pam.d/system-auth.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
~에 따르면PAM 문서, sufficient이는 스택의 나머지 부분 처리가 중지됨을 의미합니다. 이 경우 세 번째 줄은 로그인한 사용자의 UID를 확인하지 않습니다.
내 설명이 맞는 걸까요, 아니면 제가 뭔가 잘못 이해한 걸까요?
답변1
sufficient지침제어 도메인의미는pam_unix신고가 성공 하면이면 이 스택은 즉시 성공을 반환합니다. 실패할 경우 pam_unix(예: 사용자에게 비밀번호가 없거나 존재하지 않는 경우) pam_succeed_if이 줄은 UID가 500 미만인 사용자의 로그인을 즉시 거부합니다. 마지막으로, 기존 Unix 방법으로 인증에 실패한 UID ≥ 500 사용자는 이 스택에 의해 거부되지만 호출 스택에 의해 승인될 수 있습니다(예: 구성된 .rhosts경우 rshd이 스택을 호출하여 ). 다시 말해서:
if unix authentication ok then success
else if uid < 500 then fail hard
else fail (but allow caller to proceed)
sufficient네트워크 기반 인증 방법(예: NIS 및 LDAP)은 일반적으로 이 행 앞에 행으로 추가됩니다 pam_deny. UID가 500보다 큰 경우에만 네트워크 계정을 허용하고 로컬 인증 우선 순위를 부여합니다. 이런 방식으로 NIS 또는 LDAP 서버는 시스템 사용자를 제공할 수 없으며 "실제" 사용자(일반적으로 낮은 UID가 시스템 사용자임)만 제공할 수 있습니다. 또한 네트워크가 다운되더라도 로컬 계정을 가진 사용자는 계속 로그인할 수 있습니다.