Не обрабатывается ошибка pam_mount.so

0

1

OS: REDOS+GDM Требуется, чтобы при ошибке монтирования через модуль pam_mount запрещался логин пользователя в GUI. В ./etc/pam.d/gdm-password я в строке session optional pam_mount.so disable_interactive заменил optional на required и requisite, вставлял эту строку в разные блоки, в начало блоков, пробовал вставлять в system-auth, ничего не помогает, даже если mount не состоялся, логин разрешается. Будто модуль не передаёт код ошибки. Что я делаю не так? Панамку приготовил.

← Как обновить ejabberd до 26 версии?

Как дебажить authselect и pam? →

Что я делаю не так? Панамку приготовил.

В который раз не добавляешь тег redos.

dataman ★★★★★
(26.05.26 21:12:42 MSK)

Session выполняется после логина. Тебе надо вставлять это в password.

Aceler ★★★★★
(26.05.26 23:08:50 MSK)

Ответ на: комментарий от Aceler 26.05.26 23:08:50 MSK

Я писал, что в файле gdm-password вставлял это в разные блоки, в том числе в начало блока password с признаком requisite - поведение то же самое. Вернее даже иначе - при вставке в блок password mount не отрабатывает вообще - ни ошибок нет, не результата.

Deepdig
(27.05.26 08:08:20 MSK) автор топика
Последнее исправление: Deepdig 27.05.26 08:28:28 MSK (всего исправлений: 1)

Ответ на: комментарий от Deepdig 27.05.26 08:08:20 MSK

Блок password используется для работы с паролем пользователя(например смены). Тебе нужен блок auth.

Включи отладку в конфиге pam_mount (опция debug). Также можешь повключать отладку в других модулях pam (man соответствующего модуля в помощь) - и смотри на лог в journalctl. Скорее всего ты делаешь что-то не так - например правишь не тот конфиг pam (какой надо править конкретно в RedOS - я хз)

Pinkbyte ★★★★★
(28.05.26 09:30:29 MSK)

Ответ на: комментарий от Pinkbyte 28.05.26 09:30:29 MSK

Дебаг попробую включить, но по поводу не того конфига pam - сам pam_mount ведь отрабатывает, значит он как минимум в том конфиге, который отрабатывает. А вот почему он, будучи requisite не прерывает цепочку при неудачной попытке примаунтить - вот вопрос.

Deepdig
(28.05.26 14:14:34 MSK) автор топика

Не знаю, тот ли я исходник pam_mount смотрел, но там ошибка возвращалась только из-за конфига. А если код дошёл до попытки монтирования, то там всегда возвращался PAM_SUCCESS, и такой комментарий:

	/*
	 * If mounting something failed, e.g. ret = %PAM_SERVICE_ERR, we have
	 * to unravel everything and umount all volumes. But *only* if
	 * pam_mount was configured as a "required" module. How can this info
	 * be obtained?
	 * For now, always assume "optional", so that the volumes are
	 * definitely unmounted when the user logs out again.
	 */
	ret = PAM_SUCCESS;

То есть, как я понимают, pam_mount может быть сконфигурирован монтировать несколько каталогов и если один из них не получилось смонтировать и модуль required, то нужно отмонтировать удачно смонтированные перед возвратом ошибки. Но, так как модуль не знает required он или нет, то такое поведение не получится реализовать, значит и не будем пробовать, не будем сообщать об ошибках монтирования...

mky ★★★★★
(31.05.26 15:08:27 MSK)

← Как обновить ejabberd до 26 версии?

Admin

Как дебажить authselect и pam? →

Похожие темы