解決策 1:
私の理解では、 success=$num 成功時にスキップするルールの数を指定します。したがって、 pam_unix.so のいずれかの場合 または pam_winbind.so 成功すると、PAM は最終行にスキップします。もちろん、最終行はすべての場合にアクセスを許可します。
解決策 2:
pam.d(5) - Linux man ページ
<ブロック引用>
より複雑な構文の場合、有効な制御値は次の形式になります。
[value1=action1 value2=action2 ...]
actionN は次のようになります:符号なし整数 n は、「スタック内の次の n 個のモジュールをジャンプする」アクションを意味します
common-auth の意味:
<オール>
ローカル UNIX 認証が 成功 を返した場合 、2 つのモジュールを 4 番目のモジュールにジャンプします (モジュール 1 + ジャンプする 2 つのモジュール -> モジュール 4)。それ以外の場合は、ローカル認証の結果を無視して次のモジュールに進みます。
winbind (最近では sssd に置き換えられています) と kerberos 認証が success を返した場合 、1 つのモジュールをモジュール 4 にジャンプします。それ以外の場合は、ローカル認証の結果を無視して、次のモジュールに移動します。
認証リクエストを拒否します。結果は DENIED としてファイナライズされ、PAM はそこで停止します (必要な制御のために定義されたアクション)。
すべてを許可します。結果は PERMITTED として確定されますが、次のモジュール (必要な制御に対して定義されたアクション) に移動します。ただし、実行するモジュールが残っていないため、そこで終了します。