login、su、cron などのシステムサービス用に PAM サービスモジュールを構成するには、/etc/pam.d 内のサービス別ポリシーファイルまたは /etc/pam.conf ファイルの PAM 構成を使用します。システム管理者が PAM 構成を管理します。/etc/pam.d 内のサービス別ポリシーファイルまたは /etc/pam.conf ファイルでエントリの順番が間違っていると、予期しない副作用が生じる可能性があります。たとえば、/etc/pam.d 内のサービス別ポリシーファイルの構成が不適切であると、ユーザーがロックアウトされ、修復のためにシングルユーザーモードが必要になる可能性があります。
pam.conf ファイルに加え、/etc/pam.d ディレクトリ内のサービス別 PAM ポリシーファイルを介して PAM を構成することもできます。
/etc/pam.d ディレクトリには、PAM_SERVICE の値を使用して名前が付けられたファイルが入っています。たとえば、/etc/pam.d/ssh は ssh サービスの場合に読み取るファイルです。/etc/pam.conf ファイルの最初の列はサービス名ですが、それが省略される点を除き、/etc/pam.d のファイルの構文は /etc/pam.conf の構文と同じです。
/etc/pam.d のファイルを使用して PAM を構成する利点は次のとおりです。
サービス別 PAM ポリシーファイル内の誤りは、そのサービスだけに影響します。
/etc/pam.d 内にファイルを作成するだけで、新しい PAM サービスを簡単に追加できます。
Linux-PAM や OpenPAM といったほかの多くの PAM 実装が /etc/pam.d をサポートしているため、クロスプラットフォームの PAM アプリケーションとの相互運用性が向上します。
システム管理者は、ベンダーから提供された /etc/pam.d ファイルを重ね合わせることによってサイトのセキュリティーポリシーをカスタマイズすることもできます。
PAM 構成の詳細は、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の PAM の構成を参照してください。
PAM を構成する際は、次の側面を考慮する必要があります。
PAM 構成ファイルの構文。
構成された PAM サービスの検索順序。
PAM の積み上げ順序。
PAM 構成ファイルの詳細は、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の PAM 構成のリファレンスを参照してください。