Pluggable Authentication Modules

Основа

Вход пользователя в любую систему состоит из нескольких этапов:

• аутентификация (проверка что пользователь является тем, за кого себя выдаёт);
• авторизация (проверка наличия прав на запрашиваемый ресурс);
• настройка окружения (в случает shell-доступа это, например, переменные окружения, uid, gid и список групп, в которые входит пользователь);

Эти операции выполняются для большого количества разных приложений в современных UNIX-like ОС. Вот пример таких утилит с моей рабочей станции:

• утилитами изменения параметров пользователя
  • • chfn
    • chpasswd
    • chsh
    • groupadd
    • groupdel
    • groupmod
    • useradd
    • usermod
    • userdel
    • user-group-mod
• а также
  • • crond
    • cups
    • ftp 
    • *dm (gdm/wdm/xdm)
    • halt
    • imap
    • kbdrate
    • login
    • passwd
    • popa3d
    • poweroff
    • ppp 
    • reboot
    • samba
    • sshd
    • su 
    • sudo
    • synaptic
    • vlock
    • vsftpd
    • xscreensaver
    • xserver

Дублировать один и тот же код сразу в группе утилит (например в su, login, sshd авторизация/аутентификация производится идентичным образом) это во-первых хороший способ сделать море ошибок, а во-вторых просто море удовольствия при попытке сменить систему авторизации (например при желании использовать LDAP).

Для того, чтобы решить эту проблему раз и навсегда была создана технология и сопутствующая инфраструктура PAM.