Modifiche a PAM in Solaris 10

Il nuovo modulo pam_deny è stato introdotto nel programma pilota Software Express e rivisto nella versione Solaris 10 Beta 4. Questa funzione è inclusa in Solaris 10 3/05. Il modulo può essere usato per negare l'accesso a un determinato servizio PAM. Nell'impostazione predefinita, il modulo pam_deny non viene utilizzato. Per maggiori informazioni, vedere la pagina man pam_deny(5).

Solaris 10 include le seguenti modifiche al framework PAM.

• Il modulo pam_authtok_check consente ora un controllo rigoroso delle password che utilizza nuovi parametri configurabili del file /etc/default/passwd. I nuovi parametri configurabili includono:

  • Un elenco di file di dizionario separati da virgole utilizzati per il controllo della presenza di parole comuni nelle password

  • Le differenze minime richieste tra la vecchia e la nuova password

  • Il numero minimo di caratteri alfabetici e non alfabetici da utilizzare nelle nuove password

  • Il numero minimo di lettere maiuscole e minuscole da utilizzare nelle nuove password

  • Il numero consentito di caratteri ripetuti consecutivi

  • Il numero di cifre da utilizzare nella nuova password

  • La possibilità o meno di utilizzare spazi vuoti nella nuova password

• Il modulo pam_unix_auth implementa il blocco degli account per gli utenti locali. Il blocco dell'account è abilitato dal parametro configurabile LOCK_AFTER_RETRIES in /etc/security/policy.conf e dalla chiave lock_after-retries in /etc/user_attr.

• È stato definito un nuovo flag di controllo binding. Se il modulo PAM ha successo e in nessuno dei moduli precedenti contrassegnati come required si è verificato un errore, PAM ignora i moduli successivi e la richiesta di autenticazione ha successo. Se invece si verifica un errore, PAM registra un errore in un modulo richiesto e quindi prosegue l'elaborazione dello stack. Questo flag di controllo è documentato nella pagina man pam.conf(4).

• Il modulo pam_unix è stato rimosso e sostituito da un set di moduli di servizio con funzionalità equivalenti o superiori. Molti di questi moduli erano stati introdotti in Solaris 9. Qui di seguito è riportato un elenco dei moduli sostitutivi:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Le funzionalità del modulo pam_unix_auth sono state suddivise tra due moduli. Il modulo pam_unix_auth ora verifica che la password sia corretta per l'utente. Il nuovo modulo pam_unix_cred fornisce funzioni che impostano le informazioni sulle credenziali dell'utente.

• Alcune aggiunte al modulo pam_krb5 gestiscono la cache delle credenziali Kerberos utilizzando il framework PAM. Vedere Miglioramenti a Kerberos.