<div dir="ltr"><div dir="ltr">On Tue, Oct 1, 2019 at 11:19 AM Stijn De Weirdt <<a href="mailto:stijn.deweirdt@ugent.be">stijn.deweirdt@ugent.be</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">hello mantas, jeremy, all,<br>
<br>
<br>
wrt the pam script magic, i'm not a big fan, esp because it is optional.<br>
i'd rather have those users not login than that they don't have the<br>
constraints. (but obvioulsy, i really don't want to lock myself out, so<br>
i totally see what you need the optional keyword)<br></blockquote><div><br></div><div>It's as optional as you make it. If the script exits with non-0, pam_exec returns PAM_SYSTEM_ERR and you can treat this as a fatal error.</div><div><br></div><div>To avoid locking yourself out, either always make it exit 0 for root, or "session [success=1 default=ignore] pam_succeed_if.so user ingroup wheel", etc.</div><div><br></div></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Mantas Mikulėnas</div></div></div>