Перепутанный строкой файла конфигурации конфигурации PAM и ролями флаговых параметров управления

Признак sufficient в поле элемента управления означает это если pam_unix сообщает об успехе, затем этот стек сразу возвращает успех. Если pam_unix сбои (например, потому что пользователь не имеет пароля или не существует), затем доходы стека с pam_succeed_if. Та строка, в свою очередь, сразу отклоняет любой вход в систему от пользователей с UID <500. Наконец, пользователям с UID ≥ 500, кому не удалось пройти проверку подлинности в традиционном методе Unix, отказывает этот стек, но может авторизовать стопка вызова (например, через .rhosts если rshd конфигурация называет этот стек). Другими словами:

if unix authentication ok then success
else if uid < 500 then fail hard
else fail (but allow caller to proceed)

Основанные на сети методы аутентификации, такие как NIS и LDAP обычно добавлялись бы как sufficient строки незадолго до pam_deny строка. Это позволило бы учетные записи сети только, когда UID выше 500, и уделяющий локальной аутентификации первостепенное значение. Таким образом, NIS или сервер LDAP не могут предоставить пользователя системы, только “настоящих” пользователей (традиционно, низкие UIDs являются пользователями системы); также, если сеть снижается, пользователи с локальной учетной записью могут все еще войти в систему.