Solaris 10 リリースにおける PAM への変更
Solaris 10 リリースには、プラグイン可能認証モジュール (PAM) フレームワークに対する、次のような変更が含まれています。
-
pam_authtok_check モジュールが、/etc/default/passwd ファイルの新しい調整可能なパラメータを使用して、厳しいパスワードチェックができるようになりました。新しいパラメータは次を定義します。
-
パスワードの共通辞書ワードをチェックするために使用する、コンマで区切られた辞書ファイルのリスト
-
新しいパスワードと古いパスワードの間に必要な最小限の差異
-
新しいパスワードで使用する必要がある英字または英字以外の最小文字数
-
新しいパスワードで使用する必要がある大文字または小文字の最小文字数
-
許容できる連続的に繰り返される文字の数
-
-
pam_unix_auth モジュールが、ローカルユーザーに対するアカウントロックを実装しています。アカウントロックは、/etc/security/policy.conf の LOCK_AFTER_RETRIES パラメータおよび /etc/user_attr の lock_after-retries 鍵によって有効になります。詳細は、policy.conf(4) および user_attr(4) のマニュアルページを参照してください。
-
新しいbinding 制御フラグが定義されました。この制御フラグについては、pam.conf(4) のマニュアルページおよび 「PAM スタックのしくみ」に記載されています。
-
pam_unix モジュールが削除され、同等またはそれ以上の機能を備えた一連のサービスモジュールで置き換えられました。これらのモジュールの多くは、Solaris 9 リリースで導入されました。置き換え後のモジュールのリストは、次のとおりです。
-
pam_authtok_check
-
pam_authtok_get
-
pam_authtok_store
-
pam_dhkeys
-
pam_passwd_auth
-
pam_unix_account
-
pam_unix_auth
-
pam_unix_cred
-
pam_unix_session
-
-
以前の pam_unix_auth モジュールの機能は、2 つのモジュールに分割されました。pam_unix_auth モジュールは、ユーザーのパスワードが正しいかどうかを検証するように変更されました。新しく追加された pam_unix_cred モジュールは、ユーザーの資格情報を確立する機能を提供します。
-
pam_krb5 モジュールに、PAM フレームワークを使って Kerberos 資格キャッシュを管理する機能が追加されました。
-
新しい pam_deny モジュールが追加されました。このモジュールは、サービスへのアクセスを拒否するために使用できます。デフォルトでは、pam_deny モジュールは無効になっています。詳細は、pam_deny(5) のマニュアルページを参照してください。
- © 2010, Oracle Corporation and/or its affiliates