Si le fichier /etc/pam.conf n'est pas configuré, l'authentification UNIX est activée par défaut.
Les modules suivants offrent des fonctions équivalentes à celles disponibles dans le module pam_unix d'origine. Les modules sont répertoriés en fonction des pages de manuel correspondantes.
Les modules pam_unix_* suivent le modèle traditionnel d'authentification UNIX :
Le client récupère le mot de passe chiffré de l'utilisateur auprès du service de noms.
L'utilisateur est invité à saisir le mot de passe utilisateur.
Le mot de passe utilisateur est chiffré.
Le client compare les deux mots de passe chiffrés afin de déterminer si l'utilisateur doit s'authentifier.
Les modules pam_unix_* sont soumis aux restrictions suivantes :
Le mot de passe doit être stocké au format crypt UNIX.
L'attribut userPassword doit être lisible par le service de noms.
Par exemple, si vous définissez le niveau d'identification anonymous, toute personne doit être capable de lire l'attribut userPassword. De même, si vous définissez le niveau d'identification proxy, l'utilisateur proxy doit être capable de lire l'attribut userPassword.
Le module pam_unix_account prend en charge la gestion des comptes lorsque le commutateur enableShadowUpdate est défini sur true. Les contrôles d'un compte utilisateur LDAP distant sont appliqués comme ceux d'un compte utilisateur local défini dans les fichiers passwd et shadow. Pour le compte LDAP en mode enableShadowUpdate, le système met à jour et utilise les données shadow sur le serveur LDAP pour la durée de vie des mots de passe et le verrouillage de comptes. Les données en double sur le compte local s'appliquent uniquement au système client local, tandis que les données shadow d'un compte utilisateur LDAP s'appliquent à l'utilisateur sur tous les systèmes client.
La vérification de l'historique du mot de passe n'est prise en charge que pour le client local et non pour un compte utilisateur LDAP.