PAM モジュール (Solaris のシステム管理 (セキュリティサービス))

Solaris のシステム管理 (セキュリティサービス)

PAM モジュール

各 PAM モジュールは、特定のメカニズムを実装します。PAM 認証を設定するときは、モジュールとモジュールタイプの両方を指定する必要があります。モジュールタイプは、モジュールが実行する処理を定義します。複数のモジュールタイプ (認証、アカウント管理、セッション管理、またはパスワード管理) を各モジュールに関連付けることができます。

次の表では、各 PAM モジュールについて、モジュール名、モジュールファイル名、および説明を示します。各モジュールのパスは、インストールされている Solaris で使用できる命令によって異なります。モジュールのデフォルトのパスは、/usr/lib/security/ $ISA です。$ISA の値は、sparc または i386 です。詳細は、isalist(5) のマニュアルページを参照してください。

表 3-1 PAM モジュール


モジュール名とモジュールファイル名	説明
`authtok_check` `pam_authtok_check.so.1`	パスワード管理をサポートする。このモジュールは、パスワードのさまざまなチェックを行う。たとえば、パスワードの長さをチェックしたり、ログイン名を循環的にシフトしたものとパスワードを比較してその複雑さを検証したり、あるいは新しいパスワードと古いパスワードを比較して変更された文字数をチェックしたりして、ユーザーが単純なパスワードを使用しないように支援する。詳細は、`pam_authtok_check(5)` のマニュアルページを参照
`authtok_get` `pam_authtok_get.so.1`	認証およびパスワード用にパスワードプロンプト機能を提供する。詳細は、`pam_authtok_get(5)` のマニュアルページを参照
`authtok_store` `pam_authtok_store.so.1`	認証だけをサポートする。このモジュールは、ユーザーの認証トークンを更新する。正常に更新したトークンは、指定されたレポジトリまたはデフォルトのレポジトリに格納する。詳細は、`pam_authtok_store(5)` のマニュアルページを参照
`dhkeys` `pam_dhkeys.so.1`	認証で使用する Diffie-Hellman 鍵の管理をサポートする。このモジュールは、Secure RPC 認証と Secure RPC 認証トークンの管理をサポートする。詳細は、`pam_dhkeys(5)` のマニュアルページを参照
`dial_auth` `pam_dial_auth.so.1`	認証だけで使用する。このモジュールは、`/etc/dialups` ファイルと `/etc/d_passwd` ファイルに格納されたデータを、認証用として使用する。主に `login` コマンドで使用される。詳細は、`pam_dial_auth(5)` のマニュアルページを参照
`krb5` `pam_krb5_auth.so.1`	認証、アカウント管理、セッション管理、およびパスワード管理をサポートする。認証には Kerberos 資格が使用される。詳細は、`pam_krb5(5)` のマニュアルページを参照
`ldap` `pam_ldap.so.1`	認証とパスワード管理をサポートする。LDAP サーバーのデータの認証に使用される。詳細は、`pam_ldap(5)` のマニュアルページを参照
`projects` `pam_projects.so.1`	アカウント管理をサポートする。詳細は、`pam_projects(5)` のマニュアルページを参照
`rhosts_auth` `pam_rhosts_auth.so.1`	認証だけで使用する。このモジュールは、`ruserok()` ルーチンによって `~/.rhosts` および `/etc/host.equiv` ファイルに格納されたデータを使用する。主に `rlogin` と `rsh` コマンドで使用する。詳細は、`pam_rhosts_auth(5)` のマニュアルページを参照
`roles` `pam_roles.so.1`	アカウント管理だけをサポートする。RBAC の `user_attr` データベースが、ユーザーが引き受けることができる役割を決定する。詳細は、`pam_roles(5)` のマニュアルページを参照
`sample` `pam_sample.so.1`	認証、アカウント管理、セッション管理、およびパスワード管理をサポートする。テストに使用する。詳細は、`pam_sample(5)` のマニュアルページを参照
`smartcard` `pam_smartcard.so.1`	認証だけをサポートする。詳細は、`pam_smartcard(5)` のマニュアルページを参照
`unix` `pam_unix.so.1`	認証、アカウント管理、セッション管理、およびパスワード管理をサポートする。このモジュールでは、4 種類すべてのモジュールタイプを定義できる。UNIX パスワードを認証に使用する。 Solaris 環境では、パスワードを取得するための適切なネームサービスの選択は、`/etc/nsswitch.conf` ファイルで制御する。詳細は、`pam_unix(5)` のマニュアルページを参照
`unix_account` `pam_unix_account.so.1`	アカウント管理をサポートする。このモジュールは、`nsswitch.conf` ファイルに指定されたレジストリのパスワード有効期限情報を取得して、パスワードおよびユーザーアカウントの期限が切れていないことを確認する。詳細は、`pam_unix_account(5)` のマニュアルページを参照
`unix_auth` `pam_unix_auth.so.1`	認証をサポートする。このモジュールは、PAM ハンドルに含まれるパスワードが、指定されたレポジトリまたはデフォルトのレポジトリに格納されているユーザーパスワードと一致していることを検証する。詳細は、`pam_unix_auth(5)` のマニュアルページを参照
`unix_session` `pam_unix_session.so.1`	セッション管理をサポートする。このモジュールは、セッション管理を開始するために、`/var/adm/lastlog` ファイルを更新する。詳細は、`pam_unix_session(5)` のマニュアルページを参照

セキュリティ上の理由から、これらのモジュールファイルの所有者は root である必要があり、また、group と other に書き込み権があってはなりません。ファイルの所有者が root でない場合、PAM はモジュールをロードしません。