Bonjour,
Les fichiers de config PAM présentent des lignes de la forme :
PAM_facility_group control_flag PAM_modules [options]
A en croire la manpage de PAM, le groupe password permet de spécifier une gestion de màj d'authentification (la plupart du temps, le mot de passe).
Le control_flag peut prendre les valeurs suivantes :
- required : la ligne doit être "successful" pour que l'opération aboutisse, mais les autres lignes sont évaluées
- requisite : idem que required, mais mais l'opération échoue immédiatement si la ligne n'est pas "successful".
- suficient : l'opération réussit immédiatement si la ligne est successful.
- optional : peut importe le résultat de cette ligne.
En conséquence, si une politique de màj des mots de passe est mise en place sur le système et qu'un nouveau mot de passe est requis au login gdm , si l'opération voit la première ligne terminer sur un succès (pam_cracklib est chargé de vérifier que le nouveau mdp n'est pas vulnérable à une attaque dictionnaire), on tombe dans la deuxième ligne.
Si cette seconde ligne (pam_unix est en charge de l'authentification traditionnelle UNIX) rencontre le succès, elle suffit à valider l'opération globale -control_flag à suficient- : le mdp est màj.
En revanche si on tombe dans la troisième ligne l'opération échoue (pam_deny renvoie imperturbablement un résultat d'échec et la ligne est required)
Pour plus détails sur PAM, les modules et leurs options :
++
Fred
Partager