pam模块有四个管理阶段:

auth:验证用户是否存在,验证密码是否正确

account:判断是否过期,判断帐号是否被禁用

password:判断密码相关的行为

session:成功登录之后到退出期间的控制

控制的标记也有四种:

required:必要条件。该标记必须通过,如果该标记验证失败,它会继续验证下去,直到完成,才返回错误。

requisite: 必要条件。该标记必须通过,如果该标记验证失败,它不会继续验证下去,直接返回错误。

sufficient: 充要条件。只要该标记通过验证,不用判断剩下的,但是前面的required或者requisite验证必须通过。如果该标记验证失败,就会变成可选条件。

optional:可选条件。

 

相应的模块存放在/lib/security/下面,而相应的服务配置则放在/etc/pam.d/下面。