pam_user.conf 配置文件

通过将各个用户在用户控制文件 /etc/pam_user.conf 中列出，可以对其分配不同的 options。对于这里列出的 login-name，相应列出的 options 将替换对 /etc/pam.conf 中的 module-type/module-path 指定的任何 options。请参阅 8.17.4 pam.conf 配置文件 。

/etc/pam_user.conf 中条目的形式为：

login-name module-type module-path options

其中：
login-name

是用户的登录名。
module-type

是在 /etc/pam.conf 中指定的 module-type。
module-path

是与 /etc/pam.conf 中的 module-type 关联的 module-path。
options

是零或模块可识别的更多选项。

/etc/pam_user.conf 的缺省内容为注释：

#
# This file defines PAM configuration for a user. The configuration
# here overrides pam.conf.
#
# The format for each entry is:
# user_name module_type module_path options
#
# For example:
#
# user_a auth /usr/lib/security/libpam_unix.1 debug
# user_a auth /usr/lib/security/libpam_dce.1 try_first_pass
# user_a password /usr/lib/security/libpam_unix.1 debug
#
# user_b auth /usr/lib/security/libpam_unix.1 debug use_psd
# user_b password /usr/lib/security/libpam_unix.1 debug use_psd
#
# See the pam_user.conf(4) manual page for more information
#

8.17.6 PAM 的工作原理：登录示例



本示例描述了 login 的 auth 进程。

如果 /etc/pam.conf 中存在一个标准的 login/auth 条目，例如：

login auth required /usr/lib/security/libpam_unix.1

登录将正常进行。

如果存在两个或多个系统范围内的 login/auth 条目，例如：

login auth required /usr/lib/security/libpam_unix.1
login auth required /usr/lib/security/libpam_dce.1

将按顺序拾取这两个条目。在这种情况下，将执行标准 HP-UX 登录进程。然后 DCE 验证进程发生。如果二者均满足，登录将成功。即便用户的其中某个条目失败，也会执行这两个进程。

如果对不同的用户要求不同的验证方法，应将特殊条目 libpam_udpbe 放置在 /etc/pam.conf 中（为方便引用，各行均带编号）验证模块的前面：

#/etc/pam.conf
#1
login auth required /usr/lib/security/libpam_udpbe.1
#2
login auth required /usr/lib/security/libpam_unix.1
#3
login auth required /usr/lib/security/libpam_dce.1

并将每个受影响的用户所对应的条目放置在 /etc/pam_user.conf 中：

#/etc/pam_user.conf
#4
allan auth /usr/lib/security/libpam_unix.1 debug
#5
allan auth /usr/lib/security/libpam_dce.1 try_first_pass
#6
isabel auth /usr/lib/security/libpam_unix.1 debug use_psd

当 allan 登录时，/etc/pam.conf 中的第 1 行将导致 PAM 读取 /etc/pam_user.conf。由于 /etc/pam_user.conf 的第 4 和第 5 行中的模块路径与 /etc/pam.conf 的第 2 和第 3 行中的模块路径匹配，PAM 将临时性地分别用“debug”和“try_first_pass”替换 /etc/pam.conf 的第 2 和第 3 行中的空 options 字段。然后用修改后的选项执行第 2 和第 3 行指定的模块。

当 isabel 登录时，/etc/pam.conf 中的第 1 行将导致 PAM 读取 /etc/pam_user.conf，并临时性地用“debug use_psd”替换 /etc/pam.conf 的第 2 行中的 options 字段。然后用修改后的选项执行第 2 和第 3 行指定的模块。

当 george 登录时，/etc/pam.conf 中的第 1 行将导致 PAM 读取 /etc/pam_user.conf。由于不存在对应 george 的条目，/etc/pam_user.conf 的第 2 和第 3 行将不会发生变化。然后将毫无变化地执行第 2 和第 3 行指定的模块。