PAM é um conjunto de módulos que definem como as aplicações autenticarão os usuários no sistema. Os arquivos de configuração do PAM estão armazenados no diretório /etc/pam.d/.

# ls /etc/pam.d
chfn
chsh
cron
ftp
gdm
gdm-autologin
imap
kde
kscreensaver
login
other
passwd
ppp
proftpd
qpopper
samba
screen
ssh
su
xdm

Seu sistema pode ter vários arquivos de configuração neste diretório, tudo depende do que tiver instalado no seu sistema. Cada arquivo possui módulos PAM de configuração de autenticação, observe o arquivo de autenticação do Samba:

# cat /etc/pam.d/samba

auth         required        pam_unix.so nullok
account      required        pam_unix.so
session      required        pam_unix.so
password     required        pam_unix.so

Caso no seu sistema Linux você não tenha o diretório /etc/pam.d, mas sabe que sua distribuição dá suporte ao PAM, provavelmente sua configuração PAM e a configuração dos outros arquivos de configuração estão todas armazenados no arquivo /etc/pam.conf.

Sintaxe de configuração

Os arquivos de configuração PAM possuem a seguinte sintaxe:

type - Este módulo define o tipo de autenticação e possui os seguintes parâmetros:

• account - Valida as contas de usuário para os serviços;
• auth - Faz a autenticação dos usuários;
• password - Cria e modifica as senhas dos usuário;
• session - Gerencia a sessão de um usuário autenticado no sistema.

control - Este módulo define o tipo de controle que será usado se a autenticação falhar e possui os seguintes parâmetros:

• requisite - Se a autenticação do módulo falhar nega a autenticação imediatamente;
• required - Se a autenticação do módulo falhar nega a autenticação e não notifica o usuário até que os outros módulos do mesmo tipo sejam verificados;
• sufficient - Se a autenticação deste módulo é aceita, o PAM permite a autenticação mesmo se o módulo com o parâmetro required falhar;
• optional - O sucesso ou falha na autenticação só é significante se o módulo for único em relação ao serviço ou classe;

module-path - Este módulo informa o diretório default de módulos do PAM, geralmente em /usr/lib/security ou /lib/security.

module-arguments - São argumentos que são passados aos módulos.

O arquivo de configuração pam.conf

Se sua configuração PAM está armazenada no arquivo /etc/pam.conf ao invés dos arquivos de configuração do diretório /etc/pam.d/, as linhas de configuração PAM são diferentes. Cada serviço possui sua configuração armazenada no pam.conf com o nome do serviço na primeira linha de configuração. Observe o exemplo do arquivo /etc/pam.d/login:

No arquivo /etc/pam.conf ficaria assim:

Podemos obter mais informações de configuração do arquivo pam.conf consultando o guia de referência Linux-PAM System Administrator's Guide, disponível na internet.