公式のRedHadによると documentation on pam
for account
interface:
アカウント—このモジュールインターフェイスは、アクセスが許可されていることを確認します。たとえば、ユーザーアカウントの有効期限が切れているかどうか、またはユーザーが特定の時刻にログインを許可されているかどうかを確認します。
ただし、(アカウントの有効性に関する)同様の情報が/etc/shadow
ファイルに組み込まれています。 tldp
pages で言及されているように、最後のフィールドには次のものが含まれます。
パスワードの有効期限が切れてからアカウントが無効になる日数
1970年1月1日からアカウントが無効にされた日数
将来使用できるように予約されたフィールド
では、アカウントの有効性を確認するときに、アプリケーション(PAM対応のアプリケーションであっても)はいつ存在しますか?
/etc/pam.d/application
のルールが/etc/shadow
と矛盾する可能性がある場合はどうなりますか?
通常/ etc/{group、passwd、shadow}は直接使用されるのではなく、pam
を介して使用されます。 pam
は、/ etc/{group、passwd、shadow} thingsやLDAPなどのさまざまなバックエンドを使用してユーザー情報をクエリするように構成できる一種のコネクタと考えることができます。
pam
をこのように機能させるために、各バックエンドには、バックエンドにクエリを実行して情報を取得できるpamモジュールがあります。pam
の非常に基本的な構成は、pam_unix.so
ファイルから情報を取得する/etc/{group,passwd,shadow}
モジュールを使用することです。
the pam_unix.so
in man pam_unix
の機能の詳細も読むことができます。