Modifications apportées à la structure des modules PAM dans le système d'exploitation Solaris 10

Un nouveau module pam_deny a été ajouté au programme pilote Software Express et amélioré dans Solaris Express 6/04. Cette fonction est incluse dans la version 3/05 de Solaris 10. Il permet de refuser l'accès aux services PAM nommés. Par défaut, le module pam_deny n'est pas utilisé. Pour plus d'informations, reportez-vous à la page de manuel pam_deny(5).

Le logiciel Solaris 10 inclut les modifications suivantes de la structure PAM :

• Le module pam_authtok_check permet maintenant une vérification stricte par mot de passe qui utilise de nouveaux paramètres réglables dans le fichier /etc/default/passwd. Ces nouveaux paramètres permettent de définir les éléments suivants :

  • une liste de fichiers dictionnaire dont les valeurs sont séparées par des virgules et qui sont utilisés pour vérifier les mots courants dans un mot de passe ;

  • les différences requises au minimum entre un nouveau et un ancien mot de passe ;

  • le nombre minimal de caractères alphabétiques et non alphabétiques devant être employés dans un nouveau mot de passe ;

  • le nombre minimal de lettres majuscules et minuscules devant être utilisées dans un nouveau mot de passe ;

  • le nombre de caractères répétés de manière consécutive autorisés ;

  • le nombre de chiffres devant être utilisés dans le nouveau mot de passe ;

  • si les espaces sont autorisés ou non dans le nouveau mot de passe.

• Le module pam_unix_auth met en œuvre le verrouillage des comptes pour les utilisateurs locaux. Le verrouillage des comptes est activé par le paramètre LOCK_AFTER_RETRIES réglable dans le fichier /etc/security/policy.conf et par la clé lock_after-retries dans le fichier /etc/user_attr.

• Un nouvel indicateur de contrôle binding a été défini. Si le module PAM réussit et qu'aucun module le précédant et signalé par la mention required n'échoue, le module PAM ignore les modules restants et la requête d'authentification réussit. Toutefois, si un échec est retourné, le module PAM le consigne et continue de traiter la pile. L'indicateur de contrôle est documenté dans la page de manuel pam.conf(4).

• Le module pam_unix a été supprimé et remplacé par un ensemble de modules de service de fonctionnalité équivalente ou supérieure. Un grand nombre de ces modules sont nouveaux dans le système Solaris 9. En voici la liste :

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• La fonctionnalité du module pam_unix_auth a été répartie en deux modules. Le module pam_unix_auth vérifie maintenant l'exactitude du mot de passe de l'utilisateur. Le nouveau module pam_unix_cred fournit les fonctions qui permettent de définir les informations d'identification de l'utilisateur.

• Des ajouts ont été apportés au module pam_krb5 pour gérer le cache des informations d'identification de Kerberos à l'aide de la structure PAM. Reportez-vous à la section Améliorations apportées à Kerberos.