Глядя на документацию PAM:
For the more complicated syntax valid control values have the following form:
[value1=action1 value2=action2...]
[...]
The actionN can take one of the following forms:
[...]
N (an unsigned integer)
equivalent to ok with the side effect of jumping over the next N modules in the stack. Note that N equal to 0 is not allowed (and it would be identical to ok in such case).
Итак, success=n пропускает n строк. Таким образом, если вы удалите строку auth optional pam_shield.so
, вам придется пропустить на одну строку меньше и превратить первую строку в :
.
auth [success=2 default=ignore] pam_unix.so nullok_secure
Цель состоит в том, чтобы перейти к pam _allow.so в случае успеха или следующего метода else (, за исключением pam _щита , из которых мне интересно, его не следовало ставить после pam _ldap для хорошего эффекта, но я недостаточно знаю об этом ).
Но на самом деле все это должно было автоматически управляться при удалении пакета путем использования (из пакета )командыpam-auth-update
для обработки автоматической реконфигурации. Возможно, что-то пошло не так во время удаления пакета.
Во всех моих попытках установить и удалить libpam -Shield и libpam -ldap в любом порядке конфигурация всегда обрабатывалась должным образом (соответствующая строка исчезает при удалении пакета ), поэтому я озадачен, почему у вас это пошло не так.
Я бы посоветовал:
pam-auth-update
. В предлагаемом списке больше не должно упоминаться «щит PAM :блокирует IP-адреса, пытающиеся подобрать пароль», или что-то все еще не так. Если он все еще упоминается, вы можете просто отключить его, поэтому правильная конфигурация все равно будет перестроена. ОБНОВЛЕНИЕ :также, как объясняется на справочной странице:
The script makes every effort to respect local changes to /etc/pam.d/common-*. Local modifications to the list of module options will be preserved, and additions of modules within the managed portion of the stack will cause pam-auth-update to treat the config files as locally modified and not make further changes to the config files unless given the --force option.
Если ручные изменения противоречат комментариям к ним в /etc/pam.d/common-auth
, то, вероятно, pam -auth -update не будут его изменять.Это все еще можно сбросить на обработку пакетов по умолчанию, используя:
pam-auth-update --force