システム管理者やプログラマは、システムの特定箇所に対してアクセス制限を 行なったり、アプリケーションの特定機能を制限したりしたいと考えます。 PAM 無しでは、アプリケーションは LDAP や Samba, Kerberos など、新しい 認証方法が現われるたびにそれらに対応しなければなりません。このような 対応作業は時間がかかるばかりか、エラーを引き起こす可能性の高いものです。 このような手間を克服する方法としては、認証を実施するアプリケーションを 独立させ、中央でモジュールを管理することで認証を委任する方法があります。 新しく対応すべき認証方法が現われても、必要な PAM モジュール を作成して設定することで、プログラム側から利用できるようになります。

PAM で使用する用語は下記のとおりです:

PAM は 2 種類の方法で設定することができます:

/etc/pam.d/ ディレクトリ内にあるファイルは、 認証に使用する PAM モジュールを定義するためのものです。各ファイルは複数の 行から構成され、それらはそれぞれサービスを定義するためのものです。 また、各行は最大で 4 列から構成されます:

種類制御モジュールパスモジュールパラメータ

それぞれは下記のような意味を持ちます:

これらに加えて、 /etc/security ディレクトリ以下には PAM モジュールに対するグローバルな設定ファイルも存在しています。これらは 対象のモジュールに対する正確な動作を指定するものです (たとえば pam_env.conf や time.conf などがあります) 。 PAM モジュールを利用するアプリケーションが実際に PAM の機能を呼び出す際、これらの設定ファイルを利用してアプリケーションに結果 を返却します。

また、 PAM モジュールの作成とメンテナンスを簡略化するため、それぞれ auth, account, password, session の各モジュールの 種類に対して、既定の設定ファイルが用意されています。これらはそれぞれの アプリケーションの PAM 設定を経由して読み出すもので、 common-* 内でのグローバルな PAM 設定モジュールへの 更新は、それぞれ個別の PAM 設定ファイルを更新することなく反映させること ができます。

なお、グローバルな PAM の設定ファイルは、 pam-config と呼ばれるツールを利用してメンテナンスします。このツールは設定に対して 新しいモジュールを追加したり、既存のモジュールの設定を変更したり、 モジュール (またはオプション) を設定から削除したりすることを自動で行なう ことができます。これにより、 PAM の設定に対して手作業で作業を行なうことが 最小限に抑えられるほか、場合によっては全く行なう必要がなくなります。

	64 ビットと 32 ビットの混在インストールについて
64 ビット版のオペレーティングシステムをお使いの場合は、 32 ビットの アプリケーションに対しても PAM の機能を提供することもできます。この 場合は、 PAM モジュールについて両方のバージョンをインストールして ください。

sshd に対して、下記のような PAM 設定を利用する場合を考えてみます:

#%PAM-1.0                               
auth     requisite      pam_nologin.so 
auth     include        common-auth 
account  requisite      pam_nologin.so 
account  include        common-account 
password include        common-password 
session  required       pam_loginuid.so 
session  include        common-session 

それぞれの PAM モジュールに対して個別にモジュールを追加するのではなく、 設定ファイルを取り込む方法で行なっていることにより、管理者が既定値を 変更した場合でも自動的に更新版の PAM 設定を利用できるようになります。 従来は PAM に対して何らかの変更があった場合や、新しいアプリケーション がインストールされた場合、全てのアプリケーションに対する全ての設定 ファイルを調整しなければなりませんでした。現在、 PAM の設定は中央の 設定ファイルで管理され、全ての変更は各サービスの PAM 設定に自動的に 反映されます。

最初の取り込み指定 (common-auth) では、 2 種類の auth モジュールを呼び出しています: pam_env.so, pam_unix2.so 詳しくは 例2.2「auth セクションの既定の設定 (common-auth)」 をお読みください。

auth    required        pam_env.so           
auth    required        pam_unix2.so         

auth の全ての処理は、 sshd がログインの成功可否に 関する情報を受け取る前に処理されます。また、 required の制御フラグが設定された全てのモジュールは、 sshd が成功メッセージを 受け取る前に処理が成功しなければなりません。いずれかのモジュールで 成功しなかった場合でも各モジュールはそれぞれ処理され、最終的に sshd に対して失敗が通知されます。

auth の全ての処理が成功すると、その他の include ステートメントが処理されます。この場合は 例2.3「account セクションの既定の設定 (common-account)」 に続くことになります。 common-account には 1 つの モジュール pam_unix2 だけが書かれています。 pam_unix2 がユーザが存在する旨の結果を返却すると、 sshd に成功を通知して次のモジュール (password; 例2.4「password セクションの既定の設定 (common-password)」) に移動します。

account required        pam_unix2.so

password requisite      pam_pwcheck.so  nullok cracklib
password required       pam_unix2.so    nullok use_authtok

sshd の PAM 設定でも同様に、既定の設定では password モジュールの設定に対して、 common-password を取り込む ように宣言しています。 制御フラグが requisite と required に設定されているモジュールは、アプリケーションが 認証情報を変更する際に必ず成功しなければなりません。

なお、パスワードなどの認証情報を変更する際には、セキュリティチェックを 受ける必要があります。このようなチェック機能は pam_pwcheck モジュールが提供しています。 pam_unix2 モジュールは pam_pwcheck による古いパスワードから新しいパスワード への移行作業が完了した後に使用されているため、ユーザ側ではパスワードを 変更した後に認証をやり直すことがないようになっています。このような処理 により、 pam_pwcheck が実施するチェックを妨げる ことがないようにしています。また、 account や auth で期限切れのパスワードを警告するよう設定して いる場合も、 password のモジュールが使用されます。

session required        pam_limits.so
session required        pam_unix2.so
session optional        pam_umask.so

最後のステップとして、 session の種類のモジュール群 (common-session ファイル内に書かれているもの) が 呼び出され、該当するユーザに対するセッション設定を行ないます。まず pam_limits モジュールは /etc/security/limits.conf ファイルを読み込んで、 特定のシステム資源の使用を制限します。また、ここでも pam_unix2 モジュールを利用しています。さらに pam_umask モジュールは、ファイル作成時のパーミッション のマスクを設定することができます。このモジュールには optional フラグが設定されているため、このモジュールの 実行が失敗してもセッションは中断されず、そのまま続行されます。 なお、 session モジュールは、ユーザがログアウトする 際にもう一度呼び出されます。

PAM モジュールの中には設定可能なものがあります。設定ファイルは /etc/security 内に存在しています。この章では、 sshd の例で使用している pam_env.conf と limits.conf について、設定ファイルを説明しています。

変数  [DEFAULT=値]  [OVERRIDE=値]

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

pam-config ツールは、 PAM のグローバル設定ファイル (/etc/pam.d/common-*-pc) の設定を支援するほか、 いくつかの選択したアプリケーション設定を操作することのできるツールです。 対応しているモジュールの一覧については、 pam-config --list-modules コマンドを実行すると表示 することができます。 PAM の設定ファイルを管理する際には、 pam-config コマンドを利用して、 PAM の設定に新しい モジュールを追加したり、修正や削除を行なったりしてください。 PAM の グローバル設定ファイルを変更しておくことで、個別のアプリケーションに 対する設定を手作業で修正する必要が無くなります。

pam-config のシンプルな用途としては、下記のような ものがあります:

pam-config コマンドについて詳しい情報と、利用可能な オプションについては、 pam-config(8) で表示される マニュアルページをお読みください。

PAM の設定ファイルを手作業で作成したり管理したりしたい場合は、これらの ファイルに対して pam-config を無効化していることを 確認する必要があります。

pam-config --create コマンドを利用して、何もない状態 から PAM の設定ファイルを作成すると、 common-* から common-*-pc に対するシンボリックリンクが作成されます。 pam-config は common-*-pc の設定ファイルのみを修正 する仕組みであるため、これらのシンボリックリンクを削除すると、 pam-config は common-*-pc ファイルのみを操作する仕組みであり、 これらのファイルはシンボリックリンク無しでは効果の無いものであるため、 pam-config を簡単に無効化することができます。

pam-doc パッケージをインストールすることで、 /usr/share/doc/packages/pam ディレクトリ内に 下記のような様々な文書が配置されます (いずれも英語です):