pam_unix

如果未对 pam.conf(4) 文件进行过更改，则缺省情况下，pam_unix 功能处于启用状态。

Solaris 已经删除了 pam_unix 模块而且将不再支持它。但是，通过一组其他服务模块提供了等效或更强的功能。因此，在本指南中，pam_unix 是指等效的功能，而不是指 pam_unix 模块本身。

下面列出了可提供等效 pam_unix 功能的模块：

• pam_authtok_check(5)
• pam_authtok_get(5)
• pam_authtok_store(5)
• pam_dhkeys(5)
• pam_passwd_auth(5)
• pam_unix_account(5)
• pam_unix_auth(5)
• pam_unix_cred(5)
• pam_unix_session(5)

pam_unix 遵循传统的 UNIX 验证模型，如下所述。

1. 客户机从名称服务检索用户的加密口令。

2. 系统提示用户输入其口令。

3. 对用户的口令进行加密。

4. 客户机比较这两个经过加密的口令，确定用户是否通过了验证。

另外，使用 pam_unix 时还存在以下两个限制：

• 口令必须以 UNIX crypt 格式存储，而不应采用任何其他加密方法（包括明文）存储。

• 名称服务必须能够读取 userPassword 属性。

  例如，如果将凭证级别设置为 anonymous，则任何人都必须能够读取 userPassword 属性。同样，如果将凭证级别设置为 proxy，则代理用户必须能够读取 userPassword 属性。

pam_unix 与 sasl 验证方法 digest-MD5 不兼容，因为 Sun Java System Directory Server 要求以明文形式存储口令，以便使用 digest-MD5。而 pam_unix 要求以 crypt 格式存储口令。