《NetBSD指南-17.6.1.通用模块》

[leo]

17.6.1.1. pam_deny(8)
pam_deny(8) 模块是最简单的可用模块之一; 它用 PAM_AUTH_ERR回应所有的请求. 它用于快速禁用一个服务 (将其加入到每个链的头部), 或用来终止 sufficient 模块的链.

17.6.1.2. pam_echo(8)
pam_echo(8) 模块简单地将其参数传递给会话函数作为一个 PAM_TEXT_INFO 信息。 它多用于调试, 但也为显示信息提供服务，诸如在开始认证过程前 “Unauthorized access will be prosecuted” 。

17.6.1.3. pam_exec(8)
pam_exec(8) 将其第一个参数作为一个程序的名字来运行, 而其余的参数被传递给那个程序作为其命令行参数。可将它应用于登录时运行一个程序，用这个程序来挂载用户的home目录。

17.6.1.4. pam_ftpusers(8)
如果而且仅在/etc/ftpusers文件内有该用户名时pam_ftpusers(8) 模块成功。目前在NetBSD里, 该模块不识别ftpd(8)的扩展语法, 但是今后会修正。

17.6.1.5. pam_group(8)
pam_group(8) 模块接受或拒绝在申请人加入一个特别的文件组(通常是 wheel 以便他们可以使用 su(1)命令). 它主要用来维护BSD的传统的操作 su(1), 但也有很多其它的用途, 例如禁止特定组内的用户使用某个服务。
在NetBSD里, 有一个参数被称为 authenticate ，用于要求用户认证自己密码的使用。

17.6.1.6. pam_guest(8)
pam_guest(8) 模块允许guest使用修正过的login名称登录。 各式各样的请求可以使用密码, 但是默认的行为是如果登录名属于guest帐号就允许使用任何密码登录。 pam_guest(8) 模块可以很简单地实现匿名FTP登录。

17.6.1.7. pam_krb5(8)
pam_krb5(8) 模块提供了验证一个用户的身份以及用 Kerberos 5设置具体用户凭据的功能。它提示用户输入密码并主要为了获取一个新的Kerberos TGT. 获得一张本地主机的服务票据就验证了TGT。新获得的凭据储存在一个凭据缓存并且适当设置环境变量KRB5CCNAME。 当该用户退出时凭据缓存将被 kdestroy(1)销毁.

17.6.1.8. pam_ksu(8)
pam_ksu(8) 模块只为 Kerberos 5 提供认证服务以确定是否该申请人经过认证并获得了目标帐号的权力。

17.6.1.9. pam_lastlog(8)
pam_lastlog(8) 模块只提供了会话管理服务。 它将会话记录在 utmp(5), utmpx(5), wtmp(5), wtmpx(5), lastlog(5) 和 lastlogx(5) 数据库.

17.6.1.10. pam_login_access(8)
pam_login_access(8) 模块实现了一种简单的帐号管理，它根据login.access(5) 表指定的内容强制拒绝登录。

17.6.1.11. pam_nologin(8)
当 /var/run/nologin 存在时pam_nologin(8) 模块拒绝非root用户登录。当维持时间少于5分钟并直到计划的关机时间，这个文件通常由 shutdown(8) 创建.

17.6.1.12. pam_permit(8)
pam_permit(8) 模块是最简单的模块之一; 它用 PAM_SUCCESS 回应全部请求。它作为一个或多个链的服务的占位符，或者为空。

17.6.1.13. pam_radius(8)
pam_radius(8) 模块提供了基于RADIUS (远程认证拨号用户服务)的认证服务协议。

17.6.1.14. pam_rhosts(8)
pam_rhosts(8) 模块仅提供了认证服务。 如果而且仅在目标用户ID不是0和远程主机及用户在文件/etc/hosts.equiv内，或者在目标用户的 ~/.rhosts内时它才会报告成功.

17.6.1.15. pam_rootok(8)
pam_rootok(8) 模块如果而且仅在过程(假设由申请人运行)调用的真正的用户id是0时才会报告成功。这用于非网络服务，诸如 su(1) 或 passwd(1), 到 root 应该可以自动访问。

17.6.1.16. pam_securetty(8)
pam_securetty(8) 模块仅提供了帐号服务。 它用于申请人企图被认证为超级用户, 并且过程附加到一个安全的TTY上.

17.6.1.17. pam_self(8)
pam_self(8) 模块如果也仅在申请人的名称匹配目标帐户是才报告成功。 它多用于非网络服务，例如 su(1), 这样申请人的身份可以简单地验证。

17.6.1.18. pam_ssh(8)
pam_ssh(8) 模块提供了认证和会话两种服务。 认证服务允许在自己的~/.ssh目录里有密码短语保护的SSH安全key的用户通过输入他们密码短语来认证自己. 会话服务启动 ssh-agent(1) 并用认证短语中加密的key预加载它. 这个特性特别适用于本地登录, 无论在 X (使用 xdm(1) 或另一个 PAM管理 X 登录管理器) 或在控制台。
这个模块实现了一个基本的密码认证方案。注意只能通过一个安全的会话(安全的TTY, 加密会话等)使用此模块 , 或者采用用户的SSH加密短语.
另外应考虑使用 pam_ssh(8). 人们总是认为使用文件权限限制已足以保护他们的SSH keys了, 并因此使用弱密码或没有加密短语。 因为系统管理员并无有效的手段来强制要求加密短语的质量, 这有可能将系统暴露在危险下。

17.6.1.19. pam_unix(8)
pam_unix(8) 模块实现了传统的UNIX®密码认证, 在FreeBSD下使用 getpwnam(3) ，而在NetBSD下使用 getpwnam_r(3) 来获取用户帐号的密码并与申请人提供的密码进行比较。 它也提供帐号管理服务 (强制执行帐号和密码的过期时间) 以及密码更换服务。它可能是最有用的模块了, 因为绝大多数管理员希望至少保持一些服务的历史行为。