Lösung 1:
Soweit ich weiß, success=$num gibt an, wie viele Regeln bei Erfolg übersprungen werden sollen. Wenn also entweder pam_unix.so oder pam_winbind.so erfolgreich ist, springt PAM zur letzten Zeile. Die letzte Zeile erlaubt natürlich in allen Fällen den Zugriff.
Lösung 2:
pam.d(5) - Linux-Manpage
Für die kompliziertere Syntax haben gültige Steuerwerte die folgende Form:
[value1=action1 value2=action2 ...]
Die actionN kann sein:eine vorzeichenlose ganze Zahl, n, die eine Aktion von 'Springe über die nächsten n Module im Stapel'
Was die allgemeine Authentifizierung sagt:
- Wenn die lokale UNIX-Authentifizierung Erfolg zurückgibt , zwei Module überspringen zum 4. Modul (Modul 1 + 2 zu überspringende Module -> Modul 4). Ignoriere andernfalls das Ergebnis der lokalen Authentifizierung und gehe zum nächsten Modul.
- Wenn winbind (heute durch sssd ersetzt) mit Kerberos-Authentifizierung Erfolg zurückgibt , springen Sie ein Modul zu Modul 4. Ignorieren Sie andernfalls das Ergebnis der lokalen Authentifizierung und gehen Sie zum nächsten Modul.
- Lehnen Sie die Authentifizierungsanforderung ab. Das Ergebnis wird als DENIED abgeschlossen und PAM stoppt dort (die Aktion, die für die erforderliche Kontrolle definiert ist).
- Alle zulassen. Das Ergebnis wird als PERMITTED abgeschlossen, geht aber zum nächsten Modul (der Aktion, die für die erforderliche Kontrolle definiert ist). Es gibt jedoch kein auszuführendes Modul mehr, also endet es dort.