Die herkömmliche passwortbasierte Authentifizierungsmethode wird durch das PAM-Modul pam_unix2 gesteuert. Hiermit können die erforderlichen Daten aus /etc/passwd, /etc/shadow, NIS-Zuordnungen, NIS+-Tabellen oder aus einer LDAP-Datenbank gelesen werden. Das Verhalten des Moduls kann durch die Konfiguration der PAM-Optionen der einzelnen Anwendung selbst oder global durch Bearbeiten der Datei /etc/security/pam_unix2.conf beeinflusst werden. Eine ganz grundlegende Konfigurationsdatei für das Modul wird in Beispiel 16.6, „pam_unix2.conf“ dargestellt.

auth:   nullok
account:
password:       nullok
session:        none

Mit der Option nullok für die Modultypen auth und password wird angegeben, dass leere Passwörter für den entsprechenden Kontotyp zulässig sind. Die Benutzer sind zudem berechtigt, die Passwörter für ihre Konten zu ändern. Die Option none für den Modultyp session gibt an, dass für dieses Modul keine Meldungen protokolliert werden sollen (dies ist die Standardeinstellung). Informationen zu zusätzlichen Konfigurationsoptionen erhalten Sie in den Kommentaren in der Datei selbst und auf der Handbuchseite pam_unix2(8).

Diese Datei kann verwendet werden, um eine standardisierte Umgebung für Benutzer zu definieren, die beim Aufrufen des pam_env-Moduls festgelegt wird. Hiermit legen Sie Umgebungsvariablen mit folgender Syntax fest:

VARIABLE  [DEFAULT=[value]]  [OVERRIDE=[value]]

Ein typisches Beispiel für eine Verwendungsmöglichkeit von pam_env ist die Anpassung der Variable DISPLAY, die immer dann geändert wird, wenn eine entfernte Anmeldung stattfindet. Dies ist in Beispiel 16.7, „pam_env.conf“ dargestellt.

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

In der ersten Zeile wird der Wert der Variable REMOTEHOST auf localhost gesetzt, der immer dann verwendet wird, wenn mit pam_env kein anderer Wert bestimmt werden kann. Die Variable DISPLAY hingegen enthält den Wert REMOTEHOST. Weitere Informationen hierzu finden Sie in den Kommentaren der Datei /etc/security/pam_env.conf.

Diese Konfigurationsdatei ist für das Modul pam_pwcheck bestimmt, das daraus Optionen für alle Module vom Typ password abliest. Die in dieser Datei gespeicherten Einstellungen haben Vorrang vor den PAM-Einstellungen der einzelnen Anwendungen. Wenn keine anwendungsspezifischen Einstellungen definiert wurden, verwendet die Anwendung die globalen Einstellungen. Über Beispiel 16.8, „pam_pwcheck.conf“ erhält pam_pwcheck die Anweisung, leere Passwörter und die Änderung von Passwörtern zuzulassen. Weitere Optionen für das Modul werden der Datei /etc/security/pam_pwcheck.conf beschrieben.

password:    nullok

Systemgrenzen können auf Benutzer- oder Gruppenbasis in der Datei limits.conf festgelegt werden, die vom Modul pam_limits gelesen wird. In der Datei können Sie Festgrenzen, die niemals überschritten werden dürfen, und Softgrenzen festlegen, die vorübergehend überschritten werden können. Informationen zur Syntax und zu den verfügbaren Optionen erhalten Sie in den in der Datei enthaltenen Kommentaren.