PAM (概要)

プラグイン可能認証モジュール (PAM) フレームワークを使用すると、login、su、ssh などのシステムサービスを変更しなくても、新しい認証サービスを「プラグイン」できます。また、PAM を使用すると、UNIX ログインを Kerberos などほかのセキュリティーメカニズムと統合できます。また、アカウント、資格、セッション、およびパスワードの管理メカニズムも「プラグイン」できます。

PAM を使用する利点

PAM フレームワークを使用すると、システムサービス (su、login、ssh など) のユーザー認証での使用を構成できます。PAM には次の利点があります。

• 柔軟な構成ポリシー

  • アプリケーションごとの認証ポリシー

  • ユーザーごとの認証ポリシー

  • デフォルトの認証メカニズムを選択する機能

  • 高度なセキュリティーシステムにおいて複数の承認を要求する機能

• 一般ユーザーにも使いやすい

  • 認証サービスが異なってもパスワードが同じであれば、パスワードを再入力する必要がない

  • ユーザーが複数のコマンドを入力しなくても、複数の認証方式のパスワードを求めるプロンプトを表示できる

• オプションをユーザー認証サービスに渡す機能

• システムに入るためのサービスを変更しなくても、サイト固有のセキュリティーポリシーを実装する機能

PAM フレームワークの概要

PAM フレームワークは次の 4 つの部分から成ります。

• PAM コンシューマ

• PAM ライブラリ

• PAM 構成

• PAM サービスモジュール。プロバイダとも呼ばれる

このフレームワークは、認証関連のアクティビティーを実行するための統一された方法を提供します。このアプローチを使えば、アプリケーション開発者は、PAM サービスのポリシーの意味を知らなくてもサービスを使用できるようになります。アルゴリズムは一元的に提供されます。アルゴリズムの変更は、個々のアプリケーションとは無関係に行えます。PAM を使えば、管理者は、アプリケーションを変更しないで、特定システムのニーズに合わせて認証プロセスを調整できるようになります。調整は PAM 構成を通して行われます。

次の図は、PAM のアーキテクチャーを示したものです。アプリケーションは、PAM アプリケーションプログラミングインタフェース (API) 経由で PAM ライブラリと通信します。PAM モジュールは、PAM サービスプロバイダインタフェース (SPI) 経由で PAM ライブラリと通信します。したがって、PAM ライブラリを使えば、アプリケーションとモジュールとの相互通信を実現できます。

図 14-1 PAM のアーキテクチャー

このリリースでの PAM への変更

Oracle Solaris 11.1 リリースに含まれていた PAM フレームワークには、次のようないくつかの新機能が含まれています。

• definitive 制御フラグ

• サービスごとの構成

• ユーザーごとの構成