조건부 PAM 인증을 구현하는 방법은 무엇입니까?

Question

다른 두 개의 SE 게시물에 감사드립니다(딱 하나만,SF익스프레스 1호), 대답은 사용에 있습니다고급 control구문. 이것

auth required pam_unix.so try_first_pass nullok
# and sometime later
auth optional pam_ssh.so  use_first_pass

그러므로 그것은되어야한다

auth [success=1 new_authtok_reqd=1 ignore=ignore default=ignore] pam_unix.so try_first_pass nullok
auth required pam_ssh.so use_first_pass

지금이 줄은 이 줄 pam_ssh바로 앞에 와야 합니다. 이는 후속 모듈을 건너뛰는 것을 의미합니다 .pam_unixsuccess=NN

session pam_ssh.so또한, 줄을 서실 때에는 줄을 서시는 것을 잊지 마세요!

첫 번째 시도에서 나는

auth [success=1 default=ignore] pam_ssh.so try_first_pass
auth required pam_unix.so use_first_pass nullok

반대로, 이 방법은 SSH 키가 없는 모든 사용자를 잠급니다! 이것만으로는 default=ignore충분하지 않으며 auth_err=ignore명확하므로 추가해야 합니다.아니요의 일부로 간주됩니다 default. 또한 이 시도는 사용자가 로그인했는지 여부에 따라 "비밀번호" 또는 "SSH 비밀번호" 프롬프트가 표시됨을 의미합니다.가지다SSH 키!

Arch Linux에서 pam_unix사용되는 라인은 체인에 login있습니다 .include

login -> system-local-login -> system-login -> system-auth

system-login다른 것도 있습니다required 앞으로포함되어 있으므로 이전에 간단히 입력 system-auth할 수 없습니다 . 오류를 건너뛰고 다행히도 (대신 ) 여전히 로그인 비밀번호로만 로그인할 수 있습니다! 반면에 을 수정하면 다음도 허용됩니다.auth [success=1 default=ignore] pam_ssh.so try_first_passloginauth include system-local-loginrequiredpam_unix.so use_first_passtry_first_passsystem-auth다른sshdSSH 키를 로그인 비밀번호로 사용하는 인증 옵션 과 같은 서비스입니다 . 정말로 직접 사용하고 싶다면 login체인을 끊고 모든 것을 수동 include으로 .authlogin

Answer 1