A Linux a PAM (Pluggable Authentication Modules, cserélheto hitelesítési modulok) rendszert használja a hitelesítési folyamatban a felhasználó és az alkalmazás közötti rétegként. A PAM-modulok rendszerszinten állnak rendelkezésre, így akármelyik alkalmazás kérheti oket. Ez a fejezet leírja a moduláris hitelesítési mechanizmus muködését és beállításának módját.
A rendszergazdák és a programozók gyakran kívánják korlátozni a hozzáférést a rendszer egyes részeihez, illetve korlátozni az alkalmazások bizonyos funkcióinak használatát. PAM nélkül az alkalmazásokat minden egyes új hitelesítési mechanizmushoz (például LDAP, Samba vagy Kerberos) hozzá kell igazítani. Ez a folyamat azonban meglehetosen idoigényes és a hibázás esélyét rejti. E hátrányok elkerülésének egyik módja az alkalmazások és a hitelesítési mechanizmusok szétválasztása, és az utóbbi központilag felügyelt modulokba irányítása. Így minden egyes alkalommal, ha egy új hitelesítési séma kerül bevezetésre, elegendo a megfelelo PAM-modult elkészíteni vagy adaptálni.
A PAM mechanizmusát használó programok mindegyikének van egy saját konfigurációs fájlja az /etc/pam.d/programnév könyvtárban. Ezek a fájlok határozzák meg a hitelesítéshez használt PAM-modulokat. Létezik továbbá egy globális konfigurációs fájl a legtöbb PAM-modulhoz az /etc/security könyvtárban, amely meghatározza a modulok pontos viselkedését (ilyen például a pam_env.conf és a time.conf). A PAM-modulokat használó alkalmazások ténylegesen egy sor PAM-funkciót hívnak meg, amelyek azután feldolgozzák a különféle konfigurációs fájlokban található adatokat és az eredményt visszaadják a hívó alkalmazásnak.
A PAM-modulok létrehozásának és karbantartásának elosegítéséhez az auth, account, password és session modulokhoz általános alapértelmezett konfigurációs fájlok lettek bevezetve. Ezek az egyes alkalmazások PAM-konfigurációjából vannak véve. Az általános PAM-konfigurációs modulok (common-*) így átmásolódnak az összes PAM konfigurációs fájlba anélkül, hogy a rendszergazdának magának kéne frissítenie az egyes PAM konfigurációs fájlokat.
Az általános közös PAM konfigurációs fájlok karbantartása a pam-config eszközzel történik. Ez az eszköz automatikusan hozzáadja az új modulokat a konfigurációhoz, módosítja a meglévok beállításait, illetve törli a modulokat vagy a konfigurációs beállításokat. A PAM-konfigurációk karbantartásához nem vagy csak nagyon kevés kézi beavatkozásra van szükség.