跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
使用可插拔验证模块 (Pluggable Authentication Module, PAM) 框架,可以“插入”新的验证服务,而无需更改系统服务(如 login、su 和 ssh)。还可以使用 PAM 将 UNIX 登录与其他安全机制(如 Kerberos)进行集成。也可以使用此框架来“插入”帐户、凭证、会话以及口令管理的机制。
通过 PAM 框架,可以配置为使用系统服务(如 su、login 或 ssh)进行用户验证。PAM 提供的一些益处如下所示:
灵活的配置策略
基于每个应用程序的验证策略
基于每个用户的验证策略
可以选择缺省验证机制
能够在高安全性系统中要求提供多个口令
易于最终用户使用
如果不同的验证服务使用相同口令,无需重新键入口令
可以提示用户为多个验证服务输入口令,而不要求用户键入多个命令
可以将选项传递到用户验证服务
可以实现特定于站点的安全策略,而无需更改系统登录服务
PAM 使用者
PAM 库
PAM 配置
PAM 服务模块,也称为提供者
该框架为与验证相关的活动提供了统一的执行方式。采用该方式,应用程序开发者不必了解策略的语义即可使用 PAM 服务。算法是集中提供的。可以独立于各个应用程序对算法进行修改。借助 PAM,管理员可以根据特定系统的需要调整验证过程,而不必更改任何应用程序。这种调整是通过 PAM 配置进行的。
下图说明了 PAM 体系结构。应用程序通过 PAM 应用编程接口 (application programming interface, API) 与 PAM 库进行通信。PAM 模块通过 PAM 服务提供者接口 (service provider interface, SPI) 与 PAM 库进行通信。通过这种方式,PAM 库可使应用程序和模块相互进行通信。
图 14-1 PAM 体系结构
Oracle Solaris 11.1 发行版中包含的 PAM 框架包含几项新功能,其中包括:
definitive 控制标志
每服务配置
每用户配置