authconfigをさらに実行しても上書きされないように、pam configを変更するにはどうすればよいですか？

authconfigは、/etc/pam.d/*-acファイルのPAM構成のみを変更します。これらのファイルは個々のサービスの構成に直接含まれていませんが、シンボリックリンクを介して含まれています。たとえば、/etc/pam.d/system-auth-acはデフォルトで/etc/pam.d/system-authとしてリンクされ、/etc/pam.d/sshdや/etc/pam.d/loginなどのファイルのinclude行では常にsystem-authという名前が使用され、system-auth-acは使用されません。

man authconfigは、シンボリックリンクが変更された場合、authconfigはそれらを再リンクしないことを示しています。したがって、これは、システム管理者が独自の設定を挿入できる1つの場所です。

次の2つのオプションがあります。

• pam_execを個々のサービスのPAM構成ファイルに、適切なinclude行の前または後に追加します。これは、pam_execを特定のサービスのみに適用する場合に推奨されるオプションです。 （ユーザーがchfnを実行して自分の名前/オフィス/電話番号情報を更新するときにpam_execを実行する必要がありますか？）

• または、適切なincludeリンクを、対応するpam_execファイルを参照する*-acおよび次にinclude行を含む実際のファイルに置き換えます。

たとえば、pam_execを、password-authを使用するすべてのサービスで実行する場合は、/etc/pam.d/password-authシンボリックリンク（authconfigによって変更されるpassword-auth-acを指す）を次のようなファイルに置き換えることができます。

auth include password-auth-ac
account include password-auth-ac
password include password-auth-ac
session include password-auth-ac
session required pam_exec.so <your parameters>

...セッションフェーズの最後にpam_execを使用するとします。別のフェーズに配置する場合は、必要に応じて編集してください。