Я создал снимок omiserver, который использует встроенный Механизм аутентификации PAM. В рабочем столе Ubuntu это хорошо работает, но в мгновенной среде это перестало работать с записями в системном журнале:
Feb 20 10:58:01 localhost kernel: [60856.512891] audit: type=1400 audit(1487588281.113:363): apparmor="DENIED" operation="open" profile="snap.omiserver" name="/etc/pam.d/other" pid=6524 comm="omiserver" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Мой вопрос
Действительно ли возможно предоставить доступ к моему снимку для чтения и записи в /etc
папка в Ubuntu мгновенное ядро?
Действительно ли выполнимо/возможно записать наш собственный модуль PAM для аутентификации в случае мгновенной среды?
Для серверного кода OMI мы можем полностью удалить зависимость от модуля PAM т.е. Никакой требуемой аутентификации?
Спасибо
Приложения (в настоящее время) не имеют доступа к обработке логинов через libpam. Возможно добавить интерфейс для этого, но это было бы вполне привилегировано для выполнения аутентификации. Интерфейс также стал бы потенциально грязным на (по крайней мере), классическом, так как любое количество pam модулей могло бы быть установлено в системе, которая могла бы потребовать дополнительных доступов.
я незнаком с OMI - почему он использует libpam в противоположность чему-то как sudo?