Когда планируется автоматизация добавление строки в соответствующий файл? Например, через control?
Эта проблема, с одной стороны, и не проблема вовсе. Это дефолт, который можно поменять после установки или при конфигурирование. С другой стороны это не проблема пакета с модулем, это проблема пакета pam-config: https://git.altlinux.org/tasks/324184/ И, наконец, это можно рассмотреть, как проблему пакета с модулем, который содержит при установке соответствующий control. С этой стороны я готов заняться. Логика не сложная, но я с этой стороны на задачу не смотрел, хотя так даже правильней, наверное.
В linux-pam отправлен патч с модулем pam_canonicalize_user, реализующим аналогичный функционал, что и pam_propperpwnam: https://github.com/linux-pam/linux-pam/commit/2cae0f5c6757a66602546d76d51a4ba9bb28b2b2 Теперь о реализации. Думаю, что для p10 появление нового модуля ожидать пока не стоит, а проблема актуальна больше для доменных пользователей. Чтобы эта штука могла включаться как с групповыми политиками, так и без них, думаю что необходимо поместить этот модуль в начало system-auth-common: Этот стек включается сразу после основной аутентификации в system-auth: $ cat /etc/pam.d/common-login #%PAM-1.0 auth substack system-auth auth substack system-policy auth required pam_nologin.so account substack system-auth account substack system-policy account required pam_nologin.so password include system-auth password include system-policy session substack system-auth session required pam_loginuid.so -session optional pam_systemd.so session substack system-policy $ cat /etc/pam.d/system-auth-local #%PAM-1.0 auth include system-auth-local-only auth include system-auth-common account include system-auth-local-only account include system-auth-common password include system-auth-local-only password include system-auth-common session include system-auth-local-only session include system-auth-common $ head /etc/pam.d/system-auth-sss #%PAM-1.0 auth [success=4 perm_denied=ignore default=die] pam_localuser.so auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet auth [default=1] pam_permit.so auth substack system-auth-sss-only auth [default=1] pam_permit.so auth substack system-auth-local-only auth substack system-auth-common [...] $ cat /etc/pam.d/system-auth-common #%PAM-1.0 #account required pam_access.so session required pam_mktemp.so session required pam_limits.so С другой стороны system-auth у нас позволяет сделать собственную реализацию и этим пользуются. Поэтому нужно предусмотреть отсутствие этого файла. Хотя это вопрос.
$ sudo rpm -Uhv /home/sin/RPM/RPMS/x86_64/pam0_propperpwnam-0.0.1-alt2.x86_64.rpm $ sudo control pam_propperpwnam unknown $ cat /etc/pam.d/system-auth-common #%PAM-1.0 #account required pam_access.so session required pam_mktemp.so session required pam_limits.so $ sudo control pam_propperpwnam enabled $ sudo control pam_propperpwnam enabled $ cat /etc/pam.d/system-auth-common #%PAM-1.0 auth optional pam_propperpwnam.so #account required pam_access.so session required pam_mktemp.so session required pam_limits.so $ sudo control pam_propperpwnam disabled $ sudo control pam_propperpwnam disabled $ cat /etc/pam.d/system-auth-common #%PAM-1.0 #auth optional pam_propperpwnam.so #account required pam_access.so session required pam_mktemp.so session required pam_limits.so
pam_propperpwnam-0.0.1-alt2 -> sisyphus: Wed Dec 13 2023 Evgeny Sinelnikov <sin@altlinux> 0.0.1-alt2 - Add control pam_propperpwnam for support module in system authentication (ALT#47713).
$ rpm -qf /etc/pam.d/system-auth-common pam-config-1.9.0-alt4.noarch Предполагаю, что ldv@ включит эту опцию сразу для pam_canonicalize_user. Однако control, по образу и подобию стоит упаковать. В текущей реализации я активно использую наработки из пакета local-policy. Может быть их стоит влить в пакет control? Но много сложных в сопровождении деталей.
Проблема, которая решена в рамках pam_propperpwnam-0.0.1-alt2 относится к другой задаче: https://bugzilla.altlinux.org/47579
