如果未对 pam.conf(4) 文件进行过更改,则缺省情况下,pam_unix 功能处于启用状态。
Solaris 已经删除了 pam_unix 模块而且将不再支持它。但是,通过一组其他服务模块提供了等效或更强的功能。因此,在本指南中,pam_unix 是指等效的功能,而不是指 pam_unix 模块本身。
pam_unix 遵循传统的 UNIX 验证模型,如下所述。
客户机从名称服务检索用户的加密口令。
系统提示用户输入其口令。
对用户的口令进行加密。
客户机比较这两个经过加密的口令,确定用户是否通过了验证。
口令必须以 UNIX crypt 格式存储,而不应采用任何其他加密方法(包括明文)存储。
名称服务必须能够读取 userPassword 属性。
例如,如果将凭证级别设置为 anonymous,则任何人都必须能够读取 userPassword 属性。同样,如果将凭证级别设置为 proxy,则代理用户必须能够读取 userPassword 属性。
pam_unix 与 sasl 验证方法 digest-MD5 不兼容,因为 Sun Java System Directory Server 要求以明文形式存储口令,以便使用 digest-MD5。而 pam_unix 要求以 crypt 格式存储口令。