Un sistema informático supuesto para ser utilizado solamente por aquellos autorizados, debe procurar detectar y excluir el desautorizado.
El acceso a él por lo tanto es controlado generalmente insistiendo en un procedimiento de la autentificación para establecer con un cierto grado establecido de confianza la identidad del usuario, por lo tanto concediendo esos privilegios como puede ser autorizado a esa identidad.
Los ejemplos comunes del control de acceso que implican la autenticación incluyen: Para intentar probar la identidad de un sujeto u objeto posible aplicar una o más pruebas que, si se aprueban, se han declarado previamente para ser suficientes proceder.
Han sido muchos casos de tales pruebas que son engañadas con éxito; tienen por su falta demostrada, ineludible, ser inadecuadas.
Históricamente, las huellas digitales se han utilizado como el método más autoritario de autenticación, pero procesos legales recientes en los EE. UU.
y a otra parte han levantado dudas fundamentales sobre fiabilidad de la huella digital.
La verificación es hecha por un servicio dedicado que reciba la entrada y devuelva la indicación del éxito o de fallo.
En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema o login y una clave o password; ambos datos se almacenan generalmente en el fichero /etc/passwd.
Así, los dos primeros caracteres de este campo estarán constituidos por el salt y los 11 restantes por la contraseña cifrada.
La idea básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el fichero donde se almacenan las claves cifradas.
Realmente, el envejecimiento previene, más que problemas con las claves, problemas con la transmisión de estas por la red: cuando conectamos mediante mecanismos como telnet, ftp o rlogin a un sistema Unix, cualquier equipo entre el nuestro y el servidor puede leer los paquetes que enviamos por la red, incluyendo aquellos que contienen nuestro nombre de usuario y nuestra contraseña.
Incluso se puede llegar a cambiar el sistema de autenticación local sin siquiera tocar las aplicaciones existentes.
Cada regla es un conjunto de campos separados por espacios (los tres primeros son case-sensitives): service type control module-path module-arguments La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no existe el campo "service".
type especifica a que grupo de administración está asociada la regla.
El quinto campo module-arguments es un conjunto de cero o más argumentos pasados al módulo durante su invocación.
La única diferencia entre la sintaxis del archivo /etc/pam.conf es que no existe el campo service.