Pour l'authentification traditionnelle par mot de passe, le module PAM pam_unix2 est utilisé. Il lit ses données de /etc/passwd, /etc/shadow, de tables NIS ou NIS+, ou d'une base de données LDAP. On peut configurer ce module soit individuellement dans la configuration PAM de l'application, ou globalement dans /etc/security/pam_unix2.conf. Dans le cas le plus simple, le fichier de configuration du module est tel que Exemple 21.6, « pam_unix2.conf ».

auth:   nullok
account:
password:       nullok
session:        none

L'option nullok, pour les types de modules auth et password, signifie que des mots de passe vides sont admis pour ce type de compte. L'utilisateur a le droit de changer les mots de passe. On demande à l'aide de l'option none pour le type de module session qu'aucun message ne soit journalisé (configuration standard). Vous pouvez obtenir d'autres options de configuration dans ce fichier ou dans la page de manuel de pam_unix2(8).

Ce fichier peut être utilisé pour donner un environnement standardisé aux utilisateurs, via l'appel du module pam_env. Avec lui, définissez des variables d'environnement en utilisant la syntaxe suivante :

VARIABLE  [DEFAULT=[valeur]]  [OVERRIDE=[valeur]]

Un exemple courant pour lequel la valeur par défaut devrait être écrasée par pam_env est la variableDISPLAY qui est changée lors de chaque connexion distante. Voir Exemple 21.7, « pam_env.conf ».

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

La première ligne configure la valeur localhost à la variable REMOTEHOST. Celle-ci est utilisée lorsque pam_env ne peut pas déterminer d'autres valeurs. La variable DISPLAY contient la valeur de la variable REMOTEHOST. Vous trouverez plus d'informations dans les commentaires situés dans le fichier /etc/security/pam_env.conf.

Le module pam_pwcheck cherche dans ce fichier les options de tous les modules de type password. Les configurations stockées ici sont lues avant celles des configurations de l'application. Si l'application n'a pas de configuration spécifique, les configurations globales sont utilisées. Exemple 21.8, « pam_pwcheck.conf » informe pam_pwcheck d'autoriser les mots de passe vides et la modification des mots de passe. Vous trouverez plus d'options pour le module dans le fichier /etc/security/pam_pwcheck.conf.

password:    nullok

Le module pam_limits configure les limites systèmes pour des utilisateurs ou groupes spécifiques depuis le fichier limits.conf. Théoriquement, on peut configurer dans ce fichier des limites dures, sans dépassement possible, et molles, où des dépassement temporaires sont possibles. Vous trouverez des informations sur la syntaxe et les options possibles directement dans le fichier.