Oracle® Solaris 11 セキュリティー開発者ガイド

印刷ビューの終了

更新: 2014 年 7 月
 
 

PAM サービスモジュール

PAM サービスモジュールは、loginrlogintelnet などのシステムエントリアプリケーションに対し、認証およびその他のセキュリティーサービスを提供する共有ライブラリです。

    PAM サービスには次の 4 種類があります。

  • 認証サービスモジュール – アカウントまたはサービスへのアクセス許可をユーザーに与えるためのモジュール。このサービスを提供するモジュールは、ユーザーの認証およびユーザー資格の設定を行います。

  • アカウント管理モジュール – 現在のユーザーのアカウントが有効かどうかを決定するためのモジュール。このサービスを提供するモジュールは、パスワードまたはアカウントの有効期間を検査できるほか、時間制限付きアクセスの検査も行えます。

  • セッション管理モジュール – ログインセッションの設定と終了を行うためのモジュール。

  • パスワード管理モジュール – パスワードの強度規則の適用と認証トークンの更新を行うためのモジュール。

1 つの PAM モジュールには、上記サービスを 1 つ以上実装できます。ただし、タスク内容が明確に定義された単純なモジュールを使用すれば、構成の柔軟性が増します。したがって、PAM サービスは個別のモジュールとして実装することをお勧めします。その後、PAM 構成での定義に従い、サービスを必要に応じて使用できます。pam.conf(4) を参照してください。

たとえば、Oracle Solaris OS に付属する pam_authtok_check(5) モジュールを使えば、システム管理者はサイトのパスワードポリシーを構成できます。pam_authtok_check(5) モジュールは、提案されたパスワードを、さまざまな強度条件に基づいて検査します。

Oracle Solaris PAM モジュールの完全な一覧については、『SunOS リファレンスマニュアル 5 : 標準、環境、マクロ』を参照してください。PAM モジュールの接頭辞は pam_ です。

このリリースでの PAM への変更

Oracle Solaris 11.1 リリースでは、ユーザー別の PAM 構成のサポートを追加する新しい PAM モジュール pam_user_policy(5) が提供されています。このモジュールは pam_eval(3PAM) 関数を呼び出して、指定された PAM 構成を評価します。PAM ライブラリ libpam(3LIB)pam_eval() ルーチンも、Oracle Solaris 11.1 に新しく導入されました。