PAM サービスモジュールは、login、rlogin、telnet などのシステムエントリアプリケーションに対し、認証およびその他のセキュリティーサービスを提供する共有ライブラリです。
PAM サービスには次の 4 種類があります。
認証サービスモジュール – アカウントまたはサービスへのアクセス許可をユーザーに与えるためのモジュール。このサービスを提供するモジュールは、ユーザーの認証およびユーザー資格の設定を行います。
アカウント管理モジュール – 現在のユーザーのアカウントが有効かどうかを決定するためのモジュール。このサービスを提供するモジュールは、パスワードまたはアカウントの有効期間を検査できるほか、時間制限付きアクセスの検査も行えます。
セッション管理モジュール – ログインセッションの設定と終了を行うためのモジュール。
パスワード管理モジュール – パスワードの強度規則の適用と認証トークンの更新を行うためのモジュール。
1 つの PAM モジュールには、上記サービスを 1 つ以上実装できます。ただし、タスク内容が明確に定義された単純なモジュールを使用すれば、構成の柔軟性が増します。したがって、PAM サービスは個別のモジュールとして実装することをお勧めします。その後、PAM 構成での定義に従い、サービスを必要に応じて使用できます。pam.conf(4) を参照してください。
たとえば、Oracle Solaris OS に付属する pam_authtok_check(5) モジュールを使えば、システム管理者はサイトのパスワードポリシーを構成できます。pam_authtok_check(5) モジュールは、提案されたパスワードを、さまざまな強度条件に基づいて検査します。
Oracle Solaris PAM モジュールの完全な一覧については、『SunOS リファレンスマニュアル 5 : 標準、環境、マクロ』を参照してください。PAM モジュールの接頭辞は pam_ です。
Oracle Solaris 11.1 リリースでは、ユーザー別の PAM 構成のサポートを追加する新しい PAM モジュール pam_user_policy(5) が提供されています。このモジュールは pam_eval(3PAM) 関数を呼び出して、指定された PAM 構成を評価します。PAM ライブラリ libpam(3LIB) の pam_eval() ルーチンも、Oracle Solaris 11.1 に新しく導入されました。