新しい pam_deny モジュールは、Software Express パイロットプログラムで追加され、Solaris Express 6/04 で拡張されました。この機能は、Solaris 10 3/05 に組み込まれています。このモジュールを使用して、特定の PAM サービスへのアクセスを拒否できます。デフォルトでは、pam_deny モジュールは無効になっています。詳細は、pam_deny(5) のマニュアルページを参照してください。
Solaris 10 ソフトウェアでは、PAM フレームワークが次のように変更されています。
pam_authtok_check モジュールでは、/etc/default/passwd ファイル内の新しい調整可能パラメータを使用して、パスワードを厳密に確認することができます。新しいチューンアップには次の項目が定義されています。
辞書にある一般的な単語がパスワードで使用されているか調べるための、コンマ区切りの辞書ファイルのリスト
新しいパスワードと古いパスワードとの間に必要な最小限の違い
新しいパスワードで使用する必要がある、英字および英字以外の文字の最小数
新しいパスワードで使用する必要がある、大文字および小文字の最小数
許容できる連続的に繰り返される文字の数
新しいパスワードで使用しなければならない数字の数
新しいパスワード内で空白文字を使用できるかどうか
pam_unix_auth モジュールが、ローカルユーザーに対するアカウントロックを実装しています。アカウントロックは、/etc/security/policy.conf にある LOCK_AFTER_RETRIES 調整可能パラメータと /etc/user_attr の lock_after-retries キーによって使用可能になります。
新しいbinding 制御フラグが定義されました。PAM モジュールの認証が正常に終了し、それ以前の required フラグの付いているモジュールもすべて正常に終了している場合には、残りのモジュールの認証が省略され、認証要求は正常に終了します。ただし、それ以前のモジュールの失敗が返された場合には、 required フラグの付いているモジュールの失敗が記録され、後続のモジュールの処理が続行されます。この制御フラグについては、pam.conf(4) のマニュアルページに説明があります。
pam_unix モジュールが削除され、同等またはそれ以上の機能を備えた一連のサービスモジュールで置き換えられました。これらのモジュールの多くは、Solaris 9 システムでの新しいモジュールです。置き換え後のモジュールのリストは、次のとおりです。
pam_authtok_check
pam_authtok_get
pam_authtok_store
pam_dhkeys
pam_passwd_auth
pam_unix_account
pam_unix_auth
pam_unix_cred
pam_unix_session
以前の pam_unix_auth モジュールの機能は、2 つのモジュールに分割されました。pam_unix_auth モジュールは、ユーザーのパスワードが正しいかどうかを検証するように変更されました。新しく追加された pam_unix_cred モジュールは、ユーザーの資格情報を確立する機能を提供します。
PAM フレームワークを使用して Kerberos 資格キャッシュを管理するために、pam_krb5 モジュールが追加されました。「Kerberos の機能拡張」を参照してください。