PAM フレームワークは、次の 4 つの部分で構成されます。
PAM を使用するアプリケーション
PAM フレームワーク
PAM サービスモジュール
PAM 構成 (モジュールとユーザー割り当ての選択を含む)
このフレームワークは、認証関連のアクティビティーを実行するための統一された方法を提供します。このアプローチを使用すると、アプリケーション開発者は、認証ポリシーの意味を知らなくても PAM サービスを使用できます。PAM を使えば、管理者は、アプリケーションを変更しないで、特定システムのニーズに合わせて認証プロセスを調整できるようになります。代わりに、管理者は PAM 構成を調整します。
次の図は、PAM のアーキテクチャーを示したものです。
図 1-1 PAM のアーキテクチャー
このアーキテクチャーは、次のように機能します。
アプリケーションは、PAM アプリケーションプログラミングインタフェース (API) 経由で PAM フレームワークと通信します。
API の使用については、pam(3PAM) のマニュアルページおよびOracle Solaris 11 セキュリティー開発者ガイド の第 3 章PAM アプリケーションおよび PAM サービスの記述を参照してください。
PAM サービスモジュールは、PAM サービスプロバイダインタフェース (SPI) 経由で PAM フレームワークと通信します。詳細は、pam_sm(3PAM) のマニュアルページを参照してください。
選択されたサービスモジュールの簡単な説明については、PAM サービスモジュールのほか、pam.conf(4) および pam_user_policy(5) のマニュアルページを参照してください。
管理者は、サイト要件を管理するために 1 つ以上の一連のモジュールを構成できます。この一連のモジュールは、PAM スタックと呼ばれます。このスタックは、順番に評価されます。アプリケーションに複数の PAM スタックが必要な場合、アプリケーション開発者は、複数のサービス名を作成する必要があります。たとえば、sshd デーモンは、PAM 用の複数のサービス名を提供または要求します。sshd デーモンの PAM サービス名のリストについては、sshd(1M) のマニュアルページで PAM という単語を探してください。PAM スタックの詳細は、PAM スタックを参照してください。PAM スタックの例では、PAM 認証スタックを示しています。