PAM制御フラグ
PAMモジュールでは、チェックの結果が成功であることも失敗であることもあります。制御フラグは、その結果に対する処理方法をPAMに提供します。モジュールは特定の順序でスタックされるので、制御フラグは、ユーザーが後に続くモジュールの重要度を設定することができるようにします。
もう1度、rloginPAM設定ファイルを確認します。
auth required /lib/security/pam_nologin.so auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_stack.so service=system-auth |
 | 重要 |
|---|---|
requiredモジュールがコールされる順番は、決定的なものではありません。sufficientとrequisite制御フラグは、順番が重要になります。各制御フラグの例は以下を参照してください。 |
モジュールのタイプが指定されると、制御フラグは、サービス全体に対するユーザーのアクセス権を考慮するにあたって、特定のモジュールの成功や失敗がどれほど重要かを決定します。
PAM標準によって、4つのタイプの制御フラグが定義されています。
required— 許可される認証の順序で完全にチェックされなければいけないモジュールです。requiredモジュールのチェックが失敗すると、同じタイプのほかのモジュールがチェックされるまでユーザーには何も通知されません。
requisite—許可される認証の順序で完全にチェックされなければいけないモジュールです。ただし、requisiteモジュールのチェックが失敗した場合は、requiredかrequisiteモジュールが最初に失敗したことを知らせるメッセージがユーザーにただちに通知されます。
sufficient— チェックが失敗した場合、無視されるモジュールです。ただし、sufficientフラグモジュールのチェックが成功し、その上のrequiredフラグモジュールがすべて成功した場合、このタイプのほかのモジュールはチェックされず、ユーザーは認証されます。
optional— チェックが失敗した場合、無視されるモジュールです。チェックに成功しても、このタイプの認証の成功や失敗は、全体のモジュールの成功や失敗にあまり重要ではありません。optionalフラグモジュールが役立つのは、このタイプのモジュール以外がすべて成功か失敗したときだけです。この場合、成功あるいは失敗したoptionalフラグモジュールによって、そのモジュールタイプ全体のPAM認証が決定されます。
さらに制御機能を増した新しい制御フラグ構文が、PAMで利用できるようになりました。この新しい構文についての詳細は、/usr/share/doc/pam-バージョン番号/ディレクトリにあるPAMのマニュアルを参照してください。