Modultype

• Die verschiedenen Funktionen, die PAM ausführt, sind in vier Gruppen einteilen.
• Jedes PAM-Modul ist mindestens einer dieser Gruppen zuzuordnen,
• Wobei viele Module in mehreren der Gruppen Funktionen erbringen.

account

• Überprüfen ob der Benutzer berechtigt ist den angefragten Dienst zu benutzen. ("Gibt es diesen Benutzer im System und darf er sich anmelden?")
• Steht der angestrebte Benutzerkonto für eine Authentisierung zur Verfügung?.
• Dies kann von Kriterien abhängen.
• Die Möglichkeiten sind vielfälltig

auth

• Benutzeridentifizierung und -authentifizierung. z.B. Passwortabfrage oder Smartcards. ("Zeig mir deinen Ausweis!")
• Die Identität des Benutzers wird hier geprüft.
• Dazu können sie zum Beispiel ein geheimes Kennwort erfragen
• Dies wird dann gegen eine Benutzerdatenbank gecheckt.
• LDAP, Datenbank, lokaler Account usw.
• Die Mechanismen wie gecheckt wird sind genauso vielfältig.
• Biometrisch, OTP, Password.
• Hier kann man aber auch über /etc/group User besonderen Gruppen zuweisen.

password

• Steuerung der Passwortänderung ("Dieses Passwort ist zu kurz.")

session

• Verwaltung und Konfiguration der Benutzer Sitzung. Limits, Berechtigungen ... während des Zugriffs.
• Die Module werden vor und nach der Authentifizierung gestartet um etwas zu protokolieren und dem Benutzer seine eigene Umgebung zuzuweisen.
• (z.B. Homeverzeichnis)

Modulsteuerung

requisite

• Modul muss mit Erfolg enden. Bei Fehler werden keine weiteren Module abgearbeitet. (notwendige Vorbedingung)

required

• Modul muss mit Erfolg enden. Bei Fehler werden weitere Module abgearbeitet. (notwendige Bedingung)

sufficient

• Wenn das Modul erfolgreich endet, reicht das für den Erfolg der Kette.
• Keine weiteren Module werden abgearbeitet. (hinreichende Bedingung)

optional

• Das Ergebnis dieses Moduls findet keine Beachtung. (Es sei denn es ist das einzige für einen Typ)