Ändringar i PAM för operativsystemet Solaris 10

En ny pam_deny-modul lades till i pilotprogrammet Software Express och förbättrades i Solaris Express 6/04. Den här funktionen ingår i Solaris 10 3/05. Modulen kan användas för att neka åtkomst till PAM-tjänster. Standardinställningen är att pam_deny-module inte används. Mer information finns i direkthjälpen för pam_deny(5).

Solaris 10 innehåller följande ändringar i PAM-ramverket.

• Modulen pam_authtok_check tillåter nu strikt lösenordskontroll som använder nya justerare i filen /etc/default/passwd. De nya justerarna definierar följande:

  • En lista med kommaseparerade ordlistefiler som används för kontroll mot ord i ordlistor för lösenord.

  • Den minsta skillnad som krävs mellan ett nytt och ett gammalt lösenord.

  • Det lägsta antalet alfabetiska och icke-alfabetiska tecken som måste finnas i ett nytt lösenord.

  • Det lägsta antalet versaler och gemener som måste finnas i ett nytt lösenord.

  • Hur många gånger samma tecken får upprepas i rad.

  • Antalet siffror som måste användas i ett nytt lösenord.

  • Om mellanslag tillåts i nya lösenord.

• Modulen pam_unix_auth implementerar kontolås för lokala användare. Kontolås aktiveras av justerbara LOCK_AFTER_RETRIES i /etc/security/policy.conf, och nyckeln lock_after-retries i /etc/user_attr.

• En ny kontrollflagga för binding har definierats. Om PAM-modulen lyckas och inga föregående moduler som är flaggade som required har misslyckats, så hoppar PAM över återstående moduler och verifieringsförfrågan lyckas. Om ett misslyckande returneras registrerar PAM ett required-fel och fortsätter att bearbeta stacken. Den här kontrollflaggan dokumenteras i direkthjälpen för pam.conf(4).

• Modulen pam_unix har flyttats och ersatts av en uppsättning servicemoduler med likvärdig eller bättre funktionalitet. Många av de här modulerna är nya för Solaris 9. Här är en lista över de ersättande modulerna:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Funktionerna i modulen pam_unix_auth har delats upp i två moduler. Modulen pam_unix_auth verifierar att lösenordet för användaren är korrekt. Den nya modulen pam_unix_cred tillhandahåller funktioner som upprättar användarreferensinformation.

• Tillägg i modulen pam_krb5 hanterar Kerberos-referenscachen via PAM-ramverket. Mer information finns i Kerberos-förbättringar.