配布時に、PAM 構成は、認証を必要とするシステムサービス (login や ssh など) を対象とする標準のセキュリティーポリシーを実装します。一部のシステムサービスのために異なるセキュリティーポリシーを実装するか、またはサードパーティーのアプリケーションのためのポリシーを作成する必要がある場合は、次の問題を考慮してください。
提供されている構成ファイルによって要件が満たされていないかどうかを判定します。
デフォルト構成をテストします。/etc/security/pam_policy ディレクトリ内のユーザーごとのファイルをテストします。デフォルトのサービス名 other によって要件が満たされているかどうかをテストします。PAM スタックの例では、other スタックを示しています。
スタックに変更が必要なサービス名があるかどうかを識別します。サービス名の PAM スタックの変更の例については、サイト固有の PAM 構成ファイルを作成する方法を参照してください。
PAM フレームワークを使用するようにコーディングされているサードパーティーのアプリケーションの場合は、そのアプリケーションが使用する PAM サービス名を判定します。
各サービス名について、どの PAM モジュールを使用するかを判定します。
各 PAM モジュールのマニュアルページのセクション 5 を確認します。これらのマニュアルページでは、各モジュールの機能、使用可能なオプション、およびスタック内のモジュール間の相互作用について説明しています。選択されたモジュールの簡単なサマリーについては、PAM サービスモジュールを参照してください。PAM モジュールはまた、外部のソースからも使用できます。
サービス名ごとに、各モジュールを実行する順序を決定します。
各モジュールに対する制御フラグを選択します。制御フラグの詳細は、PAM スタックを参照してください。制御フラグがセキュリティーに影響する場合があることに注意してください。
ビジュアル表現については、Figure 1–2 およびFigure 1–3 を参照してください。
各モジュールに必要なオプションを選択します。各モジュールのマニュアルページには、そのモジュールで使用可能なオプションが記載されています。
PAM 構成でのアプリケーションの使用をテストします。root 役割、その他の役割、特権ユーザー、および通常のユーザーとしてテストします。一部のユーザーがそのアプリケーションの使用を許可されていない場合は、それらのユーザーをテストします。