PAM (как следует из названия) обрабатывает только аутентификацию. Аутентификация - это подтверждение того, кто пользователь, т. Е. «Докажите мне, кто вы такой, какой вы говорите». Это отдельно от Авторизации, то есть «У вас есть доступ к этому ресурсу?».
У аутентификации есть три аспекта:
1. Я знаю
2. У меня есть
3. Я
Типичная комбинация имени пользователя и пароля вписывается в 1. В то время как токен или другое устройство PKCS вписывается в 2, а биометрические данные, такие как распознавание радужной оболочки или считывание отпечатков пальцев, вписываются в число три.
Чем больше этих аспектов у вас в безопасности, тем лучше / надежнее безопасность. В этом случае логин соответствует 1 и 2, поэтому он более безопасен, чем просто имя пользователя и пароль. Если кто-то вытащит из него свою булавку и украдет его устройство, то да, это не докажет, что его использует Боб. Но тогда и Боб дал кому-то свое имя пользователя и пароль.
Смысл токена состоит в том, чтобы ввести второй фактор «обладания» чем-либо; тот факт, что вам также нужен ПИН-код, означает, что «знание» чего-либо также необходимо. Таким образом, система может иметь больше уверенности в том, что человек является тем, кем он себя считает.
Недостающая часть, на которую вы ссылаетесь - это Авторизация Это, как указано, отдельный процесс аутентификации и происходит только после того, как пользователь сам себя аутентифицировал. В этом случае PAM имеет Аутентифицированного Боба и предоставил подтверждение ОС, что Боб действительно использует систему. Однако ОС затем должна будет выполнить некоторую другую проверку на шаге 5, чтобы подтвердить, что Боб имел доступ к ресурсу.