1．/etc/pam.d/system_auth

2．PAM提供的认证服务控制标记

控制标记告诉PAM如何对待模块认证失败。PAM支持4种类型的控制标记：

required：每一个required回报都必须通过，整个认证过程才通过。

sufficient：如果sufficient回报认证通过，则不再调用其它模块。

optional：返回值对实际通过认证与否不发生效用。（提供警告提示）

3．/etc/security/*下包含了部分配置文件

4. PAM的配置集中依存于/etc/pam.d/system-auth

几项服务，包括：login、xdm等去执行策略都会访问这个文件。可用authconfig工具去修改在system-auth文件内的密码策略。

通过PAM返回一个通过或失败的返回值调用各个库。Control flag关联一个库调用定义库的返回值怎样影响所有成功或失败的PAM调用。如果所有PAM调用被返回一个通过，所有required库必须返回一个通过值。如果sufficient库返回一个通过，那么需要去调用非后来的库。optional库调用不影响所有的调用值。

注意：所有required库被执行，甚至如果第一个返回一个失败（确保一个总值）以便用户尝试去验证不知道在哪个节他们被拒绝验证。

4. 中心PAM配置文件：/etc/pam.d/system-auth：

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

类型标记 控制标记 模块路径 模块参数

auth required /lib/security/$ISA/pam_env.so

auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok

auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so

password required /lib/security/$ISA/pam_cracklib.so retry=3 type=

password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow

password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so

session required /lib/security/$ISA/pam_unix.so

5. 补充配置文件：

许多PAM库访问补充的配置文件。这些文件经常可在/etc/security/目录内找到。