Solaris 10 OS의 PAM 변경 사항

새 pam_deny 모듈이 Software Express 파일럿 프로그램에서 소개되었으며 Solaris 6/04 릴리스에서 향상되었습니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다. 모듈은 이름이 지정된 PAM 서비스에 대한 액세스를 거부할 때 사용합니다. 기본적으로 pam_deny 모듈은 사용되지 않습니다. 자세한 내용은 pam_deny(5) 매뉴얼 페이지를 참조하십시오.

Solaris 10 소프트웨어에서 PAM 프레임워크에 다음의 사항이 변경되었습니다.

• 이제 pam_authtok_check 모듈을 사용하여 이제 /etc/default/passwd 파일의 새 조정 가능 항목을 사용하여 엄격히 비밀번호를 검사할 수 있습니다. 새 조정 가능 항목은 다음과 같이 정의됩니다.

  • 비밀번호에서 일반적인 사전 단어를 검사하는데 사용되는 쉼표로 분리된 사전 파일 목록

  • 새 비밀번호와 이전 비밀번호 사이에 필요한 최소 차이

  • 새 비밀번호에 반드시 사용되어야 하는 영문자 및 영문자의 최소 수

  • 새 비밀번호에 반드시 사용되어야 하는 대문자 및 소문자의 최소 수

  • 허용 가능한 연속 반복 문자의 수

  • 새 비밀번호에서 반드시 사용해야 하는 문자의 수

  • 새 비밀번호에 공백이 허용되는가의 여부

• pam_unix_auth 모듈은 로컬 사용자용 계정 잠금을 구현합니다. 계정 잠금은 /etc/security/policy.conf에 있는 LOCK_AFTER_RETRIES 조정 가능 항목 및 /etc/user_attr의 lock_after-retries 키로 사용 가능해집니다.

• 새 binding 제어 플래그가 정의되었습니다. PAM 모듈이 성공적이며 required로 플래그된 이전 모듈이 실패하지 않은 경우 PAM은 나머지 모듈을 생략하고 인증 요청이 성공합니다. 그러나 실패가 반환된 경우 PAM은 필요한 실패를 기록한 후, 스택의 처리를 계속합니다. 이 제어 플래그에 대한 설명은 pam.conf(4) 매뉴얼 페이지에 있습니다.

• pam_unix 모듈이 제거되었으며 동일 또는 그 이상의 기능성을 지닌 일련의 서비스 모듈로 대체되었습니다. 이 모듈은 대부분 Solaris 9 시스템에서 새로 추가되었습니다. 대체 모듈 목록은 다음과 같습니다.

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• pam_unix_auth 모듈의 기능은 두 개의 모듈로 나누어졌습니다. pam_unix_auth 모듈은 이제 사용자용 비밀번호가 올바른지 검증합니다. 새 pam_unix_cred 모듈은 사용자 자격 증명 정보를 설정하는 기능을 제공합니다.

• PAM 프레임워크를 사용하여 커버로스 자격 증명 캐시를 관리하기 위하여 pam_krb5 모듈에 내용이 추가되었습니다. 커버로스 기능 강화를 참조하십시오.