跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
使用可插拔验证模块 (Pluggable Authentication Module, PAM) 框架,可以“插入”新的验证服务,而无需更改系统登录服务(如 login、ftp 和 telnet)。还可以使用 PAM 将 UNIX 登录与其他安全机制(如 Kerberos)进行集成。也可以使用此框架来“插入”帐户、凭证、会话以及口令管理的机制。
使用 PAM 框架,可以为用户验证配置系统登录服务(如 ftp、login、telnet 或 rsh)。PAM 提供的一些益处如下所示:
灵活的配置策略
基于每个应用程序的验证策略
可以选择缺省验证机制
能够在高安全性系统中要求提供多个口令
易于最终用户使用
如果不同的验证服务使用相同口令,无需重新键入口令
可以提示用户为多个验证服务输入口令,而不要求用户键入多个命令
可以将可选选项传递到用户验证服务
可以实现特定于站点的安全策略,而无需更改系统登录服务
PAM 使用者
PAM 库
pam.conf(4) 配置文件
PAM 服务模块,也称为提供者
该框架为与验证相关的活动提供了统一的执行方式。采用该方式,应用程序开发者不必了解策略的语义即可使用 PAM 服务。算法是集中提供的。可以独立于各个应用程序对算法进行修改。借助 PAM,管理员可以根据特定系统的需要调整验证过程,而不必更改任何应用程序。这种调整是通过 PAM 配置文件 pam.conf 进行的。
下图说明了 PAM 体系结构。应用程序通过 PAM 应用编程接口 (application programming interface, API) 与 PAM 库进行通信。PAM 模块通过 PAM 服务提供者接口 (service provider interface, SPI) 与 PAM 库进行通信。通过这种方式,PAM 库可使应用程序和模块相互进行通信。
图 15-1 PAM 体系结构
Oracle Solaris 11 Express 发行版的 PAM 框架包括新的 pam_allow 模块。此模块可以用于向所有用户授权访问权限,而无需实施任何安全性。使用此模块时需谨慎。有关更多信息,请参见 pam_allow(5) 手册页。