PAM-gemak met fallback
Met PAM kun je ook vrij complexe scenario's realiseren. Bijvoorbeeld dat je je beeldscherm met een korte pincode en gezichtsherkenning wilt ontgrendelen, maar dat als fallback nog het (lange en veilige) Unix-wachtwoord werkt.
Bij de PAM-regels betekent een vermelding als =2: ‘sla de volgende 2 PAM-modules over’. De eerste module pam_userdb vraagt hier naar een wachtwoord en vergelijkt dat met de in pinlist.db opgeslagen authenticatiegegevens.
Bij succes betekent dat nog niet meteen een geslaagde aanmelding. Het op het eerste gezicht onlogische success=ignore zorgt ervoor dat een gebruiker nog de tweede factor moet overleggen: met pam_python oftewel pam.py van de PAM-module Howdy wordt het gezicht gecontroleerd. Pas als dat ook klopt, meldt PAM succes en wordt met success=2 naar pam_permit gesprongen. Hoe je die module instelt wordt in het artikel hierna beschreven.
Als de eerste wachtwoordvraag door pam_userdb mislukt, slaat PAM die Gesichtserkennung over ( default=1) en gaat het verder met de Unix-wachtwoordvraag. Daar kom je ook terecht als Howdy het gezicht niet herkent. Vanwege optie try_first_pass controleert pam_unix.so of het aanvankelijk ingevoerde wachtwoord (bij de pincontrole) misschien het aanmeldwachtwoord is. Zo niet, dan wordt om nieuwe invoer gevraagd. Bij succes krijg je toegang, bij mislukken van de wachtwoordcontrole krijg een definitieve afwijzing via pam_deny.