然而,可插入式身份验证模块 (PAM) 为应用程序提供一个应用程序编程接口 (API) 框架,用于将它们的身份验证机制与系统身份验证机制集成在一起。当应用程序为用户身份验证请求与 PAM 交互时,PAM 将通过系统提供的身份验证机制执行真正的身份验证,并将结果返回给应用程序。
PAM 的优点众多:
- PAM 可以与任意类型的身份验证机制集成。
- 一种身份验证机制可以用于各种应用程序。
- PAM 提供一种框架,支持应用程序轻易地集成到它们的环境中。
IBM AIX 自从 AIX 5.1 版本以来一直支持 PAM,这允许它将多种身份验证机制集成到现有的系统身份验证机制。另外,AIX 5.2 将 PAM 作为一个可载入式验证模块 (LAM) 和 PAM 配置文件。从 5.3 版本开始,PAM 被集成到所有本机的 AIX 命令与应用程序服务中。
PAM 框架分为三个组成部分,包括 PAM 库、PAM 配置文件和 PAM 服务模块。PAM 库 libpam.a 包含 PAM API,这些 API 充当着应用程序的接口。PAM 服务模块提供一种类型的用户身份验证,这些模块位于 /usr/lib/security 目录中。PAM 配置文件借助应用程序服务与 PAM 安全模块信息进行更新。
在 AIX 5.3 系统上,启用 PAM 的方法是在 /etc/security/login.cfg 文件中的用户可配置文字段 (usw) 下将参数 "auth_type" 设置为 PAM_AUTH。这项设置将应用于整个系统。这样,AIX 命令与本机应用程序将使用 PAM 身份验证作为默认机制。
自从引入 PAM 后,它在将新的身份验证服务集成到系统上方面提供了巨大的灵活性,允许在不修改应用程序本身的情况下让应用程序使用这些服务对用户进行身份验证。与此同时,PAM 还支持对每个应用程序进行身份验证的配置,将身份验证任务与应用程序分离开。
为了利用这些优点,应该在 PAM 配置文件中声明应用程序服务与身份验证服务模块,同时使用一个控制标志来定义应用程序的行为应用程序服务模块。可以为一个应用程序定义多个身份验证模块,在用户登录时使用相同的密码验证凭证。这样做可以简化用户的身份验证过程,同时为管理员免除单调乏味的任务。
关于作者
Uma M. Chandolu 是一名 AIX 上的开发支持专家,拥有 6 年多在 AIX 环境中工作的大量实践经验,擅长 AIX 系统管理和其他子系统。他拥有与客户合作和处理客户关键型情景的经验。他曾是 “IBM developerWorks 投稿作者”。
http://www.ibm.com/developerworks/cn/aix/systemmaga/8/Streamline_Access_Control_AIX/index.html