我们使用以前称为“ 同样”的产品作为示例。 我可以非常方便地将其安装在Linux机器上,并将其joinActive Directory域。
我还可以使用RSA PAM模块,以便使用RSA身份validation服务器已知的用户名,强制用户使用双因素硬件令牌PIN和密码进行身份validation。
我可以一起使用这两个吗? 换句话说,我想我问的是我可以同时使用两个PAM模块吗? (我不是Linux的人,请把它放在我身上。)
使用Linux PAM,您可以链接authentication模块。 只需在适当的configuration文件中将所有需要检查的PAM模块设置为required 。
从文档:
当服务器调用六个PAM原语中的一个时,PAM将检索原语所属设施的链,并按列出的顺序调用链中列出的每个模块,直到达到结尾,或者确定(或者是因为绑定或足够的模块成功,或者是因为必需的模块失败)。当且仅当至less有一个模块被调用,并且所有非可选模块成功时,请求被授予。
所以如果所有的validation方法都必须成功,请使用requisite 。 但是,如果两个auth-methodes中的第一个失败,它将立即终止。
如果您想隐藏某些validation方法失败的事实,请使用required 。 即使一个模块发生故障,它仍将继续检查其他方法,最后只会失败。
如果你只需要这些方法之一就可以成功(意思是很多可能会失败,只有一个成功的validation就足够了),使用就sufficient 。
有关更多详细信息,请参阅Pam链策略 。