使用 PAM 框架的系统应用程序(例如,login 和 ssh)在 /etc/pam.d 目录的 PAM 配置文件中进行配置。也可以使用 /etc/pam.conf 文件。对这些文件所做的更改将影响系统上的所有用户。
此外,/etc/security/pam_policy 目录也保留 PAM 配置文件。这些文件涵盖多个服务,专为基于用户的分配而设计。不得修改此目录中的文件。
/etc/pam.d 目录-包含特定于服务的 PAM 配置文件,并且包括通配符文件 (other)。要为应用程序添加服务,请添加一个 service-name 文件,该文件以应用程序所使用的服务名称命名。如果适用,应用程序可以使用 other 文件中的 PAM 栈。
/etc/pam.d 目录中的服务文件提供了适用于大多数 PAM 实现的缺省配置。这些文件使用 IPS 机制进行自汇编,如 pkg(5) 手册页中所述。此缺省设置可简化与其他跨平台 PAM 应用程序的互操作性。有关更多信息,请参见 pam.conf(4) 手册页。
/etc/pam.conf 文件-传统 PAM 配置和策略文件。此文件交付时为空。配置 PAM 的首选机制是使用 /etc/pam.d 目录中的文件。有关更多信息,请参见 pam.conf(4) 手册页。
/etc/security/pam_policy 目录-包含 PAM 策略文件(其中包含用于多个服务的策略)。可以根据需要将这些文件分配给单个用户、一组用户或所有用户。此类分配将覆盖 pam.conf 或 /etc/pam.d 目录中的系统 PAM 配置文件。请勿修改这些文件。要添加基于用户的文件,请参见如何创建特定于站点的 PAM 配置文件。有关基于用户的文件的信息,请参见 pam_user_policy(5) 手册页。
由安全管理员管理所有 PAM 配置文件。项顺序不正确(也就是 PAM 栈不正确)会导致无法预料的负面影响。例如,如果文件配置错误,则可能会将多个用户锁定,这样必须通过单用户模式才能进行修复。有关帮助,请参见PAM 栈和如何排除 PAM 配置错误。