PAM(Pluggable Authentication Modules,可插拔認證模組)是一種用於作業系統登錄和應用程式的身份驗證機制。它允許系統管理員配置不同的認證方法,如密碼、Kerberos、NIS等,以保護對系統資源的訪問。PAM的核心思想是將身份驗證過程從應用程式中分離出來,使得身份驗證機制與應用程式相對獨立。這樣,管理員可以根據需要輕鬆地更換或添加認證模組,而無需修改應用程式本身。
PAM的結構包括:
PAM配置文檔:如`/etc/pam.conf`或`/etc/pam.d/*`,用於定義認證策略。
需要身份認證的服務程式:如`login`、`ftp`、`telnet`、`ssh`等。
系統身份認證:包括傳統UNIX認證方法、NIS認證方法、NIS+認證方法、Kerberos認證方法等。
PAM的核心庫檔案是`/usr/lib/libpam.so.*`,而PAM服務模組則是`/usr/lib/security/pam_*.so`。應用程式開發者可以通過在服務程式中使用PAM API來調用認證方法,而PAM服務模組的開發者則利用PAM SPI來編寫認證模組。
PAM的易用性表現在它對上層禁止了認證的具體細節,用戶不必學習多種認證方式或記住多個口令。由於PAM實現了多鑑別機制的集成管理,單個程式可以很容易地使用多種鑑別機制,如Kerberos認證和NIS認證機制等,但用戶仍可以用同一個口令登錄。
需要注意的是,PAM與聚丙烯醯胺(PAM)是兩種完全不同的技術。聚丙烯醯胺(PAM)是一種化學物質,用於水處理中的絮凝作用,其原理包括絮凝、吸附架橋、表面吸附和增強作用。