pam_禁用模块
用途
返回表示每种 PAM 模块类型发生故障的值。
描述
pam_之所以会返回所有 PAM 模块类型的故障。 如果用作服务的必需或必需模块,那么将此模块合并到的堆栈将始终失败。 建议在 /etc/pam.conf 中明确配置个别服务,然后在用于 OTHER 服务条目的pam_禁用模块中进行配置。 以这种方式配置系统可确保只有支持 PAM 的已知应用程序能够成功认证用户。 以下是如何在 /etc/pam.conf 中配置 OTHER 服务关键字以使用pam_禁止模块的示例:
#
# Fail for all PAM services not explicitely configured
#
OTHER auth required /usr/lib/security/pam_prohibit
OTHER account required /usr/lib/security/pam_prohibit
OTHER password required /usr/lib/security/pam_prohibit
OTHER session required /usr/lib/security/pam_prohibit
可以使用 pam_allow 模块来获取与 pam_prohibit 提供的功能相反的功能。
支持的 PAM 模块类型
- 认证
- pam_sm_authenticate 返回 PAM_AUTH_ERR pam_sm_setcred 返回 PAM_CRED_ERR
- 帐户管理
- pam_sm_acct_mgmt 返回 PAM_ACCT_EXPIRED
- 会话管理
- pam_sm_open_session 返回 PAM_SESSION_ERR
- 密码管理
- pam_sm_chauthtok 返回 PAM_AUTHTOK_ERR
选项
pam_prohibit 模块接受在 PAM 配置文件中指定为选项的以下参数:
| 项 | 描述 |
|---|---|
| debug | 将调试信息记录到 syslog。 |
| nowarn | 不显示警告消息。 |
返回值
pam_之所以不会返回 PAM_SUCCESS。 如果找到无效的 PAM 句柄,那么将返回 PAM_SYSTEM_ERR ,否则返回的错误代码特定于 PAM 模块类型。
位置
/usr/lib/security/pam_prohibit