Autenticazione via token con PAM USB: differenze tra le versioni

Riga 117:

Auth-Type: Primary

Auth:

[success=2 default=ignore] pam_succeed_if.so uid > 0

[success=1 default=ignore] pam_succeed_if.so uid > 0

~~required pam_usb.so~~

[success=1 default=bad ] pam_usb.so

[success=1 default=~~ignore~~] ~~pam_succeed_if~~.so ~~uid = 0~~

sufficient pam_usb.so</pre>

''pam_succeed_if.so'' è un modulo che ha successo unicamente se la condizione è soddisfatta, e chiaramente uid è uguale a zero soltanto per l'utente root, mentre è maggiore per tutti gli altri. In caso di fallimento del modulo non succede niente (''default=ignore''), ma se la condizione è soddisfatta vengono saltate un certo numero di righe (''success=N'').

Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà ~~due righe~~ (''success=2''), eseguendo l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode'', e ~~dato che soddisfa~~ la ~~condizione della terza~~ (''~~uid~~ = 0'') ~~salterà l~~'~~ultima~~.

Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.

{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.

Autenticazione via token con PAM USB: differenze tra le versioni

Menu di navigazione

Ricerca