让我们使用以前称为同样地作为示例。我可以非常轻松地将其安装在 Linux 机器上并将其加入到 Active Directory 域中。
我还可以使用 RSA PAM 模块,以便强制用户使用 RSA 身份验证服务器已知的用户名,通过双因素硬件令牌 PIN 和密码进行身份验证。
我可以同时使用这两个吗?换句话说,我想我问的是我可以同时使用两个 PAM 模块吗?(我不是 Linux 专家,所以请对我宽容一点。)
答案1
required使用 Linux PAM,您可以链接身份验证模块。只需在相应的配置文件中设置您想要检查的所有必要的 PAM 模块即可。
来自文档:
当服务器调用六个 PAM 原语之一时,PAM 会检索该原语所属设施的链,并按照列出的顺序调用链中列出的每个模块,直到到达末尾,或者确定不需要进一步处理(因为绑定或足够的模块成功,或者因为必需的模块失败)。当且仅当至少调用了一个模块,并且所有非可选模块都成功时,请求才会被批准。
因此,如果所有身份验证方法都必须成功,请使用requisite。但是,如果两种身份验证方法中的第一个失败,它将立即终止。
如果你想隐藏某些特定的身份验证方法失败的事实,请使用required。即使一个模块失败,它仍会继续检查其他方法,直到最后失败。
如果您只需要其中一种方法成功(意味着:许多方法可能会失败,只需一次成功的身份验证就足够了),请使用sufficient。
參閱PAM 链策略更多细节。