PAM フレームワークを使用するシステムアプリケーション (login や ssh など) は、/etc/pam.d ディレクトリ内の PAM 構成ファイルで構成されます。また、/etc/pam.conf ファイルも使用できます。これらのファイルへの変更は、システム上のすべてのユーザーに影響を与えます。
さらに、/etc/security/pam_policy ディレクトリにも PAM 構成ファイルが保持されています。これらのファイルは複数のサービスを対象とし、またユーザーごとの割り当て用に設計されています。このディレクトリ内のファイルを変更してはいけません。
/etc/pam.d ディレクトリ – ワイルドカードファイル other を含む、サービス固有の PAM 構成ファイルが含まれています。アプリケーション用のサービスを追加するには、そのアプリケーションによって使用されているサービス名である 1 つの service-name ファイルを追加します。必要に応じて、アプリケーションは、other ファイル内の PAM スタックを使用できます。
/etc/pam.d ディレクトリ内のサービスファイルは、ほとんどの PAM 実装でのデフォルト構成を提供します。pkg(5) のマニュアルページで説明しているように、これらのファイルは IPS メカニズムを使用して自己アセンブルされます。このデフォルト設定により、ほかのクロスプラットフォームの PAM アプリケーションとの相互運用性が簡略化されます。詳細は、pam.conf(4) のマニュアルページを参照してください。
/etc/pam.conf ファイル – レガシー PAM 構成およびポリシーファイル。このファイルは、空で配信されます。PAM を構成するための推奨されるメカニズムは、/etc/pam.d ディレクトリ内のファイルの使用です。詳細は、pam.conf(4) のマニュアルページを参照してください。
/etc/security/pam_policy ディレクトリ – 複数のサービスのためのポリシーを含む PAM ポリシーファイルが含まれています。これらのファイルは、必要に応じて、個人、個人のグループ、またはすべてのユーザーに割り当てることができます。このような割り当ては、pam.conf または /etc/pam.d ディレクトリ内のシステム PAM 構成ファイルよりも優先されます。これらのファイルを変更しないでください。ユーザーごとのファイルを追加するには、サイト固有の PAM 構成ファイルを作成する方法を参照してください。ユーザーごとのファイルについては、pam_user_policy(5) のマニュアルページを参照してください。
セキュリティー管理者は、すべての PAM 構成ファイルを管理します。エントリの順序が正しくない、つまり PAM スタックが正しくないと、予期しない副作用が発生する場合があります。たとえば、不適切に構成されたファイルによってユーザーがロックアウトされ、修復のためにシングルユーザーモードが必要になることがあります。詳細は、PAM スタックおよびPAM 構成のエラーをトラブルシューティングする方法を参照してください。