PAM이 인증 모듈을 병렬로 실행하도록 하는 방법이 있습니까?
이는 PAM을 사용하는 모든 사람에게 유용할 수 있습니다.
PAM은 인증 모듈을 순차적 및 차단 방식으로 실행하는 것으로 보입니다.
여러 인증 메커니즘을 사용하려는 사람들의 경우 이는 방해가 되지 않는 메서드 계층 구조가 있어야 함을 의미합니다.
제가 해결하려는 문제는 GNome 키링을 잠금 해제하려면 비밀번호가 필요하지만 pam_fprintd도 활성화되어 있고 얼굴 인식 카메라가 사용되고 있다는 것입니다.
즉, 처음 로그인할 때 먼저 pam_fprintd 블록을 입력한 다음 얼굴 인식 블록을 입력하고 비밀번호를 입력할 수 있습니다.
이는 sudo에서도 발생합니다. 이것은 주요 PITA입니다.
답변1
같은 문제에 직면하면 PAM만으로는 해결할 수 없다고 생각합니다. pam_fprintd.so() 매뉴얼 페이지에서 man pam_fprintd:
한정
PAM 스택은 직렬화된 인증을 위해 설계되었으므로 pam_fprintd가 비밀번호와 지문을 동시에 인증하는 것은 불가능합니다.
별도의 PAM 프로세스를 구현하고 별도의 인증 스택을 별도로 실행하는 것은 PAM 서비스를 사용하는 애플리케이션에 달려 있습니다. 예를 들어 gdm 사용자에게 여러 인증 방법이 제공되는 방식입니다.
예를 들어, GNOME 디스플레이 관리자( gdm3)는 암호와 지문의 병렬 입력을 허용하며(둘 다 필요하지 않고 둘 중 하나만 필요함) 자체적으로 여러 인증 스택을 병렬로 구현합니다.
나도 하나 찾았어GitHub 문제linux-pam 저장소에서는 PAM이 이를 지원해야 하는지, RFC가 이를 지지하는지 반대하는지에 대한 논의가 있었지만 궁극적으로 개발자들은 이를 받아들이지 않은 것 같습니다.
결국, linux-pam이나 제3자가 여러 인증 모듈을 병렬로 허용하기 위해 PAM에 대한 일부 일반 확장을 구현할 때까지 이 대답은 (불행히도) 답이 없는 상태로 남습니다.
답변2
fprint 버전 1.92 이상을 사용하는 경우 Ctrl+를 눌러 C지문 사용 시도를 중단하고 비밀번호 인증으로 전환할 수 있습니다.이 약속을 이행해.