PAM sistemi , sistem yöneticilerine esnek bir yapı oluşturacak şekilde tasarlanmıştır. PAM ile ilgili ayarlar sistemde iki farklı şekilde tutulabilmektedir.  İlk yöntem konfigürasyonu tek dosyada tutmaktır. Bu yöntem kullanıldığında konfigürasyon dosyası /etc/pam.conf dosyası olacaktır. İkinci yöntem ise kimlik denetimi yapacak her servis için farklı konfigürasyon dosyalarının tutulumasıdır. Bu yöntem kullanıldığı takdirde konfigürasyon dosyaları /etc/pam.d dizini altında bulunacaktır. Red Hat Linux dağıtımları her servis için farklı konfigürasyon dosyası mantığını kullanmaktadır.

Her iki yöntemde de konfigürasyon dosyası formatı birbirine benzemektedir. ‘#’ ile başlayan satırlar  açıklama satırları olarak kabul edilmektedir.

Her servis için ayrı konfigürasyon dosyası kullanılacak ise genel konfigürasyon satırı aşağıdaki yapıya sahiptir :

modül-tipi             kontrol-bayrağı                modül-dosyasının-yeri              modüle-gönderilecek-argümanlar

 Genel konfigürasyon satırının açıklaması aşağıdaki gibidir :
 
    * Servis İsmi : Konfigürasyon satırının hangi servis için olduğu bilgisini içerir.  Servis isimleri verilirken çoğunlukla servisi kullanacak olan programın ismi kullanılmaktadır. Örnek olarak login programı kimlik denetimi yapmak istediği durumlarda servis ismi login olan satırlardaki bilgiler kullanılacaktır.

    * Modül Tipi : Modül tipi alanı ile kullanılacak modülün işlevi belirtilmektedir. PAM modülleri 4 farklı görev için kullanılabilmektedir. Bu sebepten dolayı 4 farklı modül tipi bulunmaktadır.

          auth : Bu modül tipi gerçek kimlik denetimi işlemi gerçekleştiren modül tipidir. Kullanıcının gerçekten belirtilen kullanıcı olup olmadığının öğrenilmesi işlemi için kullanılır.
         
     account : Bu modül tipi kimlik denetimi dışında kalan hesap yönetim işlemlerini yapmaktadır. Çoğunlukla kullanıcının sisteme girebileceği saatlerin kontrol edilmesi , şifre yaşlandırma , bir kullanıcının sisteme kaç defa girebileceği gibi işlemler için kullanılmaktadır.

          session : Bu modül tipi kullanıcıya servis verilmeden önce veya sonra yapılması gereken işlemlerin gerçekleştirilmesini sağlamaktadır. Bu işlemler arasında giriş ve çıkış bilgilerinin kaydedilmesi , gerekli dizinlerin mount edilmesi , vb bulunmaktadır.

          passwd : Bu modül tipinin görevi gerekli durumlarda kullanıcının kimlik denetim bilgisinin güncellenmesini sağlamaktır. Kimlik bilgisinin güncellenmesini gerektiren işlemlere örnek olarak kullanıcının şifresini değiştirmesi verilebilir.

    * Kontrol Bayrağı : Kontrol bayrağı alanı bir modülün çıkış değerinin genel sonucu nasıl etkileyeceği bilgisini içerir. Bu alanda 4 farklı değer belirtilebilmektedir.

          required : Modül tipinin başarılı olması için işlenen modülün başarılı olması gerektiği belirtilir. Eğer işlenen modül başarısız olursa , modül tipi için işlenmesi gereken modüller bittikten sonra işlemin başarısız olduğu uygulamaya bildirilir.

          requisite : required bayrağından tek farkı eğer bir modül başarısız olursa işlemin başarısız olduğu uygulamaya hemen bildirilir.

          sufficient : sufficient kontrol bayrağına sahip bir modül başarılı olduğu takdirde işlemin başarılı olduğu uygulamaya bildirilir. Sufficient kontrol bayrağına sahip bir modülden önce çalıştırılan ve required kontrol bayrağına sahip bir modül başarısız olmuş ise , sufficient bayrağına sahip bir modülün başarılı olması işlemin başarılı olmasını sağlamamaktadır. requiered kontrol bayrağına sahip bir modülün başarız olması tüm işlemin başarısız olmasını sağlamaktadır.

          optional :  optional kontrol bayrağına sahip bir modülün başarısı veya başarısızlığı işlemin başarısını etkilememektedir.

    * Modül Dosyasının Yeri : PAM modülünün sistem içinde bulunduğu yeri belirtir. (Örn : /lib/security/pam_nologin.so)

    * Modüle Gönderilecek Argümanlar : PAM modülleri argüman kabul edebilmektedirler. İstendiği takdirde modüllere argüman gönderilmeyebilir. Bu durumda konfigürasyon satırında argümanlar için ayrılan kısım boş bırakılacaktır. Tüm modüller tarafından kabul edilen temel argümanlar ve işlevleri aşağıdaki gibidir.

          debug : Modülün yaptığı işlemler ile ilgili bilgilerin syslog çağrısı ile sistem loglarına yazılmasını sağlar.
          no_warn : Modülün hata mesajları üretmemesini sağlar.
          use_first_pass : Modülün yeni bir şifre istemek yerine daha önce girilen şifreyi kullanmasını sağlar.
          try_first_pass : Modülün ilk olarak daha önce girilmiş şifreyi denemesini , şifrenin hatalı olması durumunda yeni bir şifre istenmesini sağlar.

[root@atlas /root]# cat /etc/pam.d/system-auth

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth        required      /lib/security/pam_env.so

auth        sufficient    /lib/security/pam_unix.so likeauth nullok

auth        required      /lib/security/pam_deny.so

 

account     required      /lib/security/pam_unix.so

 

password    required      /lib/security/pam_cracklib.so retry=3

password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow

password    required      /lib/security/pam_deny.so

 

session     required      /lib/security/pam_limits.so

session     required      /lib/security/pam_unix.so