linux – 为什么sshd还在使用PAM？

但是如果您在/ etc / passwd中没有本地用户但是您可以获得主机/ XXXXXX服务票证(GSSAPI正常工作),则sshd无法登录并且永远不会获得SecurID的提示(我们的pam半径指向SecurID).我明白那个.由于服务器“已验证”用户和pam_unix知道用户不在/ etc / passwd中,因此无需使用任何其他auth方法.

但是,我的问题是为什么如果我第一次运行kdestroy(故意让GSSAPI失败),(并且仍然不存在于/ etc / passwd中)我是否突然得到一个Securid提示(即PAM参与)？

运行sshd与调试显示：推迟键盘交互为无效用户“用户”.首先,为什么它不会简单地失败？为什么延迟？ pam_radius是’必需’,而不是’必需’.

我希望也会失败,因为即使我没有经过身份验证,我也永远不会超过pam_unix.

文件：

的/ etc / SSH / sshd_config中

....  
ChallengeResponseAuthentication yes  
GSSAPIAuthentication            yes  
HostbasedAuthentication         no  
KerberosAuthentication          no  
PasswordAuthentication          no  
PubkeyAuthentication            yes  
RhostsRSAAuthentication         no  
RSAAuthentication               yes  
UsePAM                          yes      
....

上将/etc/pam.d/sshd

auth       requisite        pam_radius_auth.so conf=pam_radius_auth.conf debug retry=3  
auth       required     pam_nologin.so  
auth     required     pam_krb5.so.1  
account  sufficient      pam_radius_auth.so conf=pam_radius_auth.conf  
account    required     pam_stack.so service=system-auth  
password   required     pam_stack.so service=system-auth  
session    required     pam_stack.so service=system-auth  
session    required     pam_limits.so  
session    optional     pam_console.so

将/etc/pam.d/system-auth

auth        required      pam_env.so  
auth        sufficient    pam_krb5.so.1  
auth        sufficient    pam_unix.so  
auth        required      pam_deny.so  
account     required      pam_unix.so  
password    required      pam_cracklib.so retry=3  
password    sufficient    pam_unix.so use_authtok md5 shadow  
password    required      pam_deny.so  
session     required      pam_limits.so  
session     required      pam_unix.so