Para llevar a cabo una autenticación mediante una contraseña tradicional, se emplea el módulo PAM pam_unix2. Este puede recibir sus datos desde /etc/passwd, /etc/shadow, a través de mapas NIS, desde tablas NIS+ o desde una base de datos LDAP. Las opciones de configuración pueden introducirse bien individualmente en la configuración PAM de la aplicación, o bien de manera global en /etc/security/pam_unix2.conf. En el Ejemplo 21.6, “pam_unix2.conf” se muestra un archivo de configuración muy básico para este módulo.

auth:   nullok
account:
password:       nullok
session:        none

Si se selecciona la opción nullok en los módulos del tipo auth y password, será posible utilizar contraseñas vacías para este tipo de cuentas. El usuario está autorizado a cambiar las contraseñas. Mediante la opción none para el tipo session se determina que no se registren informes para ese tipo de módulo (configuración estándar). Si desea obtener información adicional respecto a otras opciones de configuración adicionales, consulte los comentarios en este archivo o la página del manual de pam_unix2(8).

Este archivo puede utilizarse para proporcionar a los usuarios un entorno estandarizado tras el inicio del módulo pam_env. Puede definir valores predeterminados para las variables del entorno con la siguiente sintaxis:

VARIABLE  [DEFAULT=[valor]]  [OVERRIDE=[valor]]

La variable DISPLAY, que se modifica cada vez que tiene lugar un login remoto, constituye un ejemplo muy común en el que el valor predeterminado ha de ser sobreescrito por pam_env. Ver el Ejemplo 21.7, “pam_env.conf”.

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

La primera línea determina el valor de las variables REMOTEHOST en localhost, de manera que pam_env no pueda calcular y devolver otro valor. La variable DISPLAY utiliza el valor de REMOTEHOST. Puede obtener más información en los comentarios del archivo /etc/security/pam_env.conf.

El módulo pam_pwcheck obtiene de este archivo las opciones para todos los módulos del tipo password. La configuración almacenada en este archivo es consultada antes que la de la aplicación PAM. En caso de que no se hubiera adoptado ninguna configuración individual para la aplicación, se utiliza la configuración global. El archivo del Ejemplo 21.8, “pam_pwcheck.conf” dice a pam_pwcheck que acepte contraseñas vacías y permita modificar las contraseñas. Puede consultar opciones adicionales en el archivo /etc/security/pam_pwcheck.conf.

password:    nullok

El módulo pam_limits lee los límites del sistema para determinados usuarios o grupos del archivo limits.conf. En teoría, existe la posibilidad de establecer límites duros (sin posibilidad de sobrepasarlos) y blandos (se permite sobrepasarlos temporalmente) respecto a los recursos del sistema. Puede consultar la sintaxis y las opciones disponibles en el propio archivo.