Solaris 10 作業系統中 PAM 的變更

Software Express 試驗程式中已增加了 pam_deny 模組，並在 Solaris Express 6/04 發行版本中增強了功能。Solaris 10 3/05 發行版本中有此功能。您可使用該模組來拒絕存取已命名的 PAM 服務。預設不會使用 pam_deny 模組。如需更多資訊，請參閱「pam_deny(5) 線上手冊」。

Solaris 10 軟體包含下列 PAM 架構變更。

• pam_authtok_check 模組現在允許使用 /etc/default/passwd 檔案中新的可調項，嚴格檢查密碼。新的可調項定義下列項目：

  • 以逗號分隔用來檢查密碼中常用字典字的字典檔案清單

  • 新舊密碼之間所需的最低差異

  • 新密碼中必須使用的字母與非字母字元數量下限

  • 新密碼中必須使用的大小寫字母數量下限

  • 允許連續重複的字元數量

  • 新密碼中必須使用的數字數量

  • 新密碼中是否允許使用空格

• pam_unix_auth 模組實作會對本機使用者進行帳號鎖定。透過 /etc/security/policy.conf 中的 LOCK_AFTER_RETRIES 可調項和 /etc/user_attr 中的 lock_after-retries 鍵啟用帳號鎖定。

• 已定義新的 binding 控制旗標。如果 PAM 模組成功且之前標示為 required 的模組沒有失敗，則 PAM 會略過剩餘的模組且驗證要求會繼續。但是，如果傳回失敗，PAM 會記錄要求失敗，並繼續處理堆疊。「pam.conf(4) 線上手冊」中有此控制旗標的說明。

• pam_unix 模組已遭移除，並已由一組同等或更好的服務模組所取代。這些模組有很多都是 Solaris 9 系統中的新增功能。以下是取代模組的清單：

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• pam_unix_auth 模組的功能分為兩個模組。pam_unix_auth 模組現在可為使用者驗證密碼是否正確。新的 pam_unix_cred 模組提供建立使用者憑證資訊的功能。

• pam_krb5 模組的附加功能使用 PAM 架構管理 Kerberos 憑證快取。請參閱Kerberos 增強功能。