PAM（概述）

使用可插拔验证模块 (Pluggable Authentication Module, PAM) 框架，可以“插入”新的验证服务，而无需更改系统服务（如 login、su 和 ssh）。还可以使用 PAM 将 UNIX 登录与其他安全机制（如 Kerberos）进行集成。也可以使用此框架来“插入”帐户、凭证、会话以及口令管理的机制。

使用 PAM 的益处

通过 PAM 框架，可以配置为使用系统服务（如 su、login 或 ssh）进行用户验证。PAM 提供的一些益处如下所示：

• 灵活的配置策略

  • 基于每个应用程序的验证策略

  • 基于每个用户的验证策略

  • 可以选择缺省验证机制

  • 能够在高安全性系统中要求提供多个口令

• 易于最终用户使用

  • 如果不同的验证服务使用相同口令，无需重新键入口令

  • 可以提示用户为多个验证服务输入口令，而不要求用户键入多个命令

• 可以将选项传递到用户验证服务

• 可以实现特定于站点的安全策略，而无需更改系统登录服务

PAM 框架介绍

PAM 框架由四个部分组成：

• PAM 使用者

• PAM 库

• PAM 配置

• PAM 服务模块，也称为提供者

该框架为与验证相关的活动提供了统一的执行方式。采用该方式，应用程序开发者不必了解策略的语义即可使用 PAM 服务。算法是集中提供的。可以独立于各个应用程序对算法进行修改。借助 PAM，管理员可以根据特定系统的需要调整验证过程，而不必更改任何应用程序。这种调整是通过 PAM 配置进行的。

下图说明了 PAM 体系结构。应用程序通过 PAM 应用编程接口 (application programming interface, API) 与 PAM 库进行通信。PAM 模块通过 PAM 服务提供者接口 (service provider interface, SPI) 与 PAM 库进行通信。通过这种方式，PAM 库可使应用程序和模块相互进行通信。

图 14-1 PAM 体系结构

此发行版中 PAM 的更改

Oracle Solaris 11.1 发行版中包含的 PAM 框架包含几项新功能，其中包括：

• definitive 控制标志

• 每服务配置

• 每用户配置