Cambios en PAM para el sistema operativo Solaris 10

Al programa piloto Software Express se agregó un nuevo módulo pam_deny, que se mejoró en la versión Solaris Express 6/04. Además, se incluye en la versión Solaris 10 3/05. El módulo se puede utilizar para denegar el acceso a los servicios PAM designados. De forma predeterminada, el módulo pam_deny no se usa. Para obtener más información, consulte la página de comando man pam_deny(5).

El software Solaris 10 incluye los siguientes cambios en la estructura PAM.

• Con el módulo pam_authtok_check, ahora se puede realizar una comprobación de contraseña estricta que utilice nuevos valores ajustables en el archivo /etc/default/passwd. Los nuevos valores ajustables definen ahora los siguientes aspectos:

  • una lista de archivos de diccionario separados por comas que se usan para comprobar las palabras de diccionario común en una contraseña

  • las diferencias mínimas que se requiere que existan entre una contraseña nueva y una antigua

  • el número mínimo de caracteres alfabéticos y no alfabéticos que se deben usar en una contraseña nueva

  • el número mínimo de letras en mayúscula y en minúscula que se deben usar en una contraseña nueva

  • el número permitido de caracteres repetidos consecutivos

  • el número de dígitos que se deben incluir en la contraseña nueva

  • si se pueden usar o no espacios en blanco en la contraseña nueva

• El módulo pam_unix_auth implementa bloqueos de cuentas para los usuarios locales. Un bloqueo de cuenta se habilita con el valor ajustable LOCK_AFTER_RETRIES en /etc/security/policy.conf y con la clave lock_after-retries en /etc/user_attr.

• Se ha definido un nuevo indicador de control binding. Si el módulo PAM funciona correctamente y no ha fallado ningún módulo anterior que esté marcado como required, PAM omite los módulos restantes y la solicitud de autenticación se efectúa satisfactoriamente. No obstante, si se devuelve un fallo, PAM registra un fallo requerido y continúa procesando la pila. El indicador de control se describe en la página de comando man pam.conf(4).

• El módulo pam_unix se ha eliminado y se ha sustituido por un conjunto de módulos de servicio con una funcionalidad equivalente o superior. La mayoría de estos módulos ya se introdujeron en Solaris 9. A continuación, aparece la lista de los módulos de sustitución:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Las funciones del módulo pam_unix_authse han dividido en dos módulos. El módulo pam_unix_auth se encarga ahora de verificar que la contraseña sea la correcta para el usuario, mientras que el nuevo módulo pam_unix_cred proporciona funciones que establecen información sobre las credenciales del usuario.

• Se han realizado adiciones al módulo pam_krb5 para gestionar la caché de credenciales de Kerberos usando la estructura PAM. Consulte Mejoras de Kerberos.