При использовании профиля jacarta для модуля pam_pkcs11 в последующем возникает ошибка при добавлении опции slot_num (для указания с каким слотом работать при использовании многослотовых токенов). Воспроизведение ситуации: # apt-get install pkcs11-profiles-jacarta # control pam-pkcs11-profile jacarta Разница в /etc/security/pam_pkcs11/pam_pkcs11.conf после применения профиля: # diff /etc/security/pam_pkcs11/pam_pkcs11.conf /etc/security/pam_pkcs11/pam_pkcs11.conf.default 33c33 < card_only = true; --- > card_only = false; 54c54 < use_pkcs11_module = jacarta; --- > use_pkcs11_module = opensc; 379,389d378 < < pkcs11_module jacarta { < ca_dir = /etc/security/pam_pkcs11/cacerts; < crl_dir = /etc/security/pam_pkcs11/crls; < module = /usr/lib64/pkcs11/libjcPKCS11-2.so; < support_threads = false; < cert_policy = global_ca,ca,signature; < description = "JaCarta"; < token_type = "JaCarta"; < slot_description = "none"; < } После добавления в секцию "pkcs11_module jacarta {...}" опции "slot_num = 3;" и выполнении команды pkcs11_inspect возникает ошибка: # pkcs11_inspect ERROR:pkcs11_inspect.c:57: Error setting configuration parameters Если из секции "pkcs11_module jacarta {...}" убрать опцию "slot_description = "none";" тогда ошибки не возникает и pam_pkcs11 работает нормально.
"Which slot to use? You can use "slot_num" or "slot_description", but not both, to specify the slot to use. Using "slot_description" is preferred because the PKCS#11 specification does not guarantee slot ordering. "slot_num" should only be used with those PKCS#11 implementations that guarantee constant slot numbering." Получается, вы добавляете новый параметр в конфигурацию, но не убираете из неё конфликтующий с ним параметр. Документация говорит, что их нельзя использовать вместе и советует использовать slot_description как более однозначный.
pkcs11-profiles-0.1.13-alt1 -> sisyphus: Thu Apr 07 2022 Paul Wolneykien <manowar@altlinux> 0.1.13-alt1 - Remove slot_description = "none" from the default module profiles (closes: 42339, 42341).
Спасибо!