Pluggable Authentication Modules
En informatique, Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM) est un mécanisme permettant d'intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau, permettant de ce fait de rendre indépendant du schéma les logiciels réclamant une authentification.
PAM est une création de Sun Microsystems et est supporté en 2005 sur les architectures Solaris, Linux, FreeBSD et NetBSD.
L'administrateur système peut alors définir une stratégie d'authentification sans devoir recompiler des programmes d'authentification. PAM permet de contrôler la manière dont les modules sont enfichés dans les programmes en modifiant un fichier de configuration.
Les programmes qui donnent aux utilisateurs un accès à des privilèges doivent être capables de les authentifier. Lorsque vous vous connectez sur le système, vous indiquez votre nom et votre mot de passe. Le processus de connexion vérifie que vous êtes bien la personne que vous prétendez être. Il existe d'autres formes d'authentification que l'utilisation des mots de passe, qui peuvent d'ailleurs êtres stockés sous différentes formes.
Modules PAM
Quatre types de modules sont définis par la norme PAM :
- Les modules auth assurent l'authentification réelle, éventuellement en demandant et en vérifiant un mot de passe, et ils définissent des « certificats d'identité » tels que l'appartenance à un groupe ou des « tickets » kerberos.
- Les modules account vérifient si l'authentification est autorisée (si le compte n'est pas arrivé à expiration, si l'utilisateur est autorisé à se connecter à cette heure de la journée, etc.).
- Les modules password sont utilisés pour définir des mots de passe.
- Les modules session sont utilisés une fois qu'un utilisateur a été authentifié pour lui permettre d'utiliser son compte, éventuellement en montant le répertoire personnel de l'utilisateur ou en rendant sa boîte aux lettres disponible.