Änderungen an PAM für die Version Solaris 10

Ein neues pam_deny-Modul wurde mit dem Software Express-Pilotprogramm eingeführt und in Software Express 6/04 verbessert. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten. Das Modul kann zur Verweigerung des Zugriffs auf benannte PAM-Dienste verwendet werden. Das Modul pam_deny wird standardmäßig nicht eingesetzt. Weitere Informationen entnehmen Sie bitte der Manpage pam_deny(5) man page.

Solaris 10 weist die folgenden Änderungen an der PAM-Struktur auf.

• Das Modul pam_authtok_check erlaubt nun eine strikte Passwortprüfung mithilfe der neuen Tunables in der Datei /etc/default/passwd. Die neuen Tunables definieren:

  • Eine Liste durch Komma getrennter Wörterbuchdateien, die zur Überprüfung von Passwörtern anhand normaler Wörterbucheinträge herangezogen werden

  • Die mindestens erforderlichen Unterschiede zwischen einem alten und einem neuen Passwort

  • Die für ein neues Passwort erforderliche Mindestanzahl alphabetischer oder nicht-alphabetischer Zeichen

  • Die für ein neues Passwort erforderliche Mindestanzahl an Groß- oder Kleinbuchstaben

  • Die zulässige Anzahl aufeinander folgender gleicher Zeichen

  • Die für ein neues Passwort erforderliche Mindestanzahl an Zahlen

  • Ob Leerzeichen im neuen Passwort zulässig sind

• Das Modul pam_unix_auth implementiert die Kontosperre für lokale Benutzer. Die Kontosperre wird durch das Tunable LOCK_AFTER_RETRIES in /etc/security/policy.conf und den Schlüssel lock_after-retries in /etc/user_attr aktiviert.

• Es wurde ein neues binding-Steuerflag definiert. Wenn das PAM-Modul erfolgreich ist und keines der vorangehenden, mit dem Flag required gekennzeichneten Module fehlgeschlagen ist, überspringt PAM die verbleibenden Module, und die Authentifizierung wird erfolgreich abgeschlossen. Wird jedoch ein Fehler zurückgegeben, verzeichnet PAM das Scheitern eines erforderlichen Vorgangs und fährt mit der Abarbeitung des Stacks fort. Dieses Steuer-Flag ist in der Manpage pam.conf(4) dokumentiert.

• Das Modul pam_unix wurde entfernt und durch verschiedene Dienstmodule mit einem gleichwertigen oder umfassenderen Funktionsumfang ersetzt. Viele dieser Module wurden im System Solaris 9 neu eingeführt. Sehen Sie hier eine Liste der Ersatzmodule:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Der Funktionsumfang des Moduls pam_unix_auth wurde auf zwei Module aufgeteilt. Das Modul pam_unix_auth überprüft jetzt die Richtigkeit des eingegebenen Passworts für den jeweiligen Benutzer. Das neue Modul pam_unix_cred bietet Funktionen zum Einrichten von Berechtigungsinformationen für Benutzer.

• Neue Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Lesen Sie auch Kerberos-Verbesserungen.