Linux 在驗證程序中將 PAM (可插式驗證模組,Pluggable Authentication Modules) 當做使用者與應用程式之間的溝通層。PAM 模組適用於整個系統,任何應用程式皆可要求。本章節說明模組驗證機制如何運作以及如何設定。
系統管理員與程式設計人員通常會想要限制系統某些部份的存取,或是限制應用程式某些功能的使用。若未使用 PAM,則每次引用新的驗證機制 (例如 LDAP 或 SAMBA) 時,就必須調整應用程式。然而這個程序相當耗費時間,而且容易產生錯誤。避免這些缺點的方法就是將應用程式與驗證機制區隔開來,並將驗證委託給集中管理的模組。如此一來每當需要新的驗證配置時,就能夠調整或撰寫適當的 PAM 模組以供有問題的程式使用。
每個依賴 PAM 機制的程式都有自己的組態檔,位置在 /etc/pam.d/programname。這些檔案是定義用來驗證的 PAM 模組。除此之外,在 /etc/security 之下具有大部份 PAM 模組的全域組態檔,它們定義出這些模組的精確行為 (這些範例包括 pam_env.conf、pam_pwcheck.conf、pam_unix2.conf 以及 time.conf)。每個應用程式使用 PAM 模組時,其實就是呼叫一組 PAM 函數,然後處理各種組態檔中的資訊,並將結果傳回呼叫的應用程式。