Ein neues pam_deny-Modul wurde mit dem Software Express-Pilotprogramm eingeführt und in Software Express 6/04 verbessert. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten. Das Modul kann zur Verweigerung des Zugriffs auf benannte PAM-Dienste verwendet werden. Das Modul pam_deny wird standardmäßig nicht eingesetzt. Weitere Informationen entnehmen Sie bitte der Manpage pam_deny(5) man page.
Solaris 10 weist die folgenden Änderungen an der PAM-Struktur auf.
Das Modul pam_authtok_check erlaubt nun eine strikte Passwortprüfung mithilfe der neuen Tunables in der Datei /etc/default/passwd. Die neuen Tunables definieren:
Eine Liste durch Komma getrennter Wörterbuchdateien, die zur Überprüfung von Passwörtern anhand normaler Wörterbucheinträge herangezogen werden
Die mindestens erforderlichen Unterschiede zwischen einem alten und einem neuen Passwort
Die für ein neues Passwort erforderliche Mindestanzahl alphabetischer oder nicht-alphabetischer Zeichen
Die für ein neues Passwort erforderliche Mindestanzahl an Groß- oder Kleinbuchstaben
Die zulässige Anzahl aufeinander folgender gleicher Zeichen
Die für ein neues Passwort erforderliche Mindestanzahl an Zahlen
Ob Leerzeichen im neuen Passwort zulässig sind
Das Modul pam_unix_auth implementiert die Kontosperre für lokale Benutzer. Die Kontosperre wird durch das Tunable LOCK_AFTER_RETRIES in /etc/security/policy.conf und den Schlüssel lock_after-retries in /etc/user_attr aktiviert.
Es wurde ein neues binding-Steuerflag definiert. Wenn das PAM-Modul erfolgreich ist und keines der vorangehenden, mit dem Flag required gekennzeichneten Module fehlgeschlagen ist, überspringt PAM die verbleibenden Module, und die Authentifizierung wird erfolgreich abgeschlossen. Wird jedoch ein Fehler zurückgegeben, verzeichnet PAM das Scheitern eines erforderlichen Vorgangs und fährt mit der Abarbeitung des Stacks fort. Dieses Steuer-Flag ist in der Manpage pam.conf(4) dokumentiert.
Das Modul pam_unix wurde entfernt und durch verschiedene Dienstmodule mit einem gleichwertigen oder umfassenderen Funktionsumfang ersetzt. Viele dieser Module wurden im System Solaris 9 neu eingeführt. Sehen Sie hier eine Liste der Ersatzmodule:
pam_authtok_check
pam_authtok_get
pam_authtok_store
pam_dhkeys
pam_passwd_auth
pam_unix_account
pam_unix_auth
pam_unix_cred
pam_unix_session
Der Funktionsumfang des Moduls pam_unix_auth wurde auf zwei Module aufgeteilt. Das Modul pam_unix_auth überprüft jetzt die Richtigkeit des eingegebenen Passworts für den jeweiligen Benutzer. Das neue Modul pam_unix_cred bietet Funktionen zum Einrichten von Berechtigungsinformationen für Benutzer.
Neue Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Lesen Sie auch Kerberos-Verbesserungen.