Il nuovo modulo pam_deny è stato introdotto nel programma pilota Software Express e rivisto nella versione Solaris 10 Beta 4. Questa funzione è inclusa in Solaris 10 3/05. Il modulo può essere usato per negare l'accesso a un determinato servizio PAM. Nell'impostazione predefinita, il modulo pam_deny non viene utilizzato. Per maggiori informazioni, vedere la pagina man pam_deny(5).
Solaris 10 include le seguenti modifiche al framework PAM.
Il modulo pam_authtok_check consente ora un controllo rigoroso delle password che utilizza nuovi parametri configurabili del file /etc/default/passwd. I nuovi parametri configurabili includono:
Un elenco di file di dizionario separati da virgole utilizzati per il controllo della presenza di parole comuni nelle password
Le differenze minime richieste tra la vecchia e la nuova password
Il numero minimo di caratteri alfabetici e non alfabetici da utilizzare nelle nuove password
Il numero minimo di lettere maiuscole e minuscole da utilizzare nelle nuove password
Il numero consentito di caratteri ripetuti consecutivi
Il numero di cifre da utilizzare nella nuova password
La possibilità o meno di utilizzare spazi vuoti nella nuova password
Il modulo pam_unix_auth implementa il blocco degli account per gli utenti locali. Il blocco dell'account è abilitato dal parametro configurabile LOCK_AFTER_RETRIES in /etc/security/policy.conf e dalla chiave lock_after-retries in /etc/user_attr.
È stato definito un nuovo flag di controllo binding. Se il modulo PAM ha successo e in nessuno dei moduli precedenti contrassegnati come required si è verificato un errore, PAM ignora i moduli successivi e la richiesta di autenticazione ha successo. Se invece si verifica un errore, PAM registra un errore in un modulo richiesto e quindi prosegue l'elaborazione dello stack. Questo flag di controllo è documentato nella pagina man pam.conf(4).
Il modulo pam_unix è stato rimosso e sostituito da un set di moduli di servizio con funzionalità equivalenti o superiori. Molti di questi moduli erano stati introdotti in Solaris 9. Qui di seguito è riportato un elenco dei moduli sostitutivi:
pam_authtok_check
pam_authtok_get
pam_authtok_store
pam_dhkeys
pam_passwd_auth
pam_unix_account
pam_unix_auth
pam_unix_cred
pam_unix_session
Le funzionalità del modulo pam_unix_auth sono state suddivise tra due moduli. Il modulo pam_unix_auth ora verifica che la password sia corretta per l'utente. Il nuovo modulo pam_unix_cred fornisce funzioni che impostano le informazioni sulle credenziali dell'utente.
Alcune aggiunte al modulo pam_krb5 gestiscono la cache delle credenziali Kerberos utilizzando il framework PAM. Vedere Miglioramenti a Kerberos.