金仓数据库KingbaseES安全指南--6.11. PAM身份验证

这种认证方法操作起来类似password， 只不过它使用 PAM（插入式验证模块）作为认证机制。默认的 PAM 服务名是kingbase。PAM 只被用于验证用户名/口令对并且可以有选择地验证已连接的远程主机名或 IP 地址。因此，在使用 PAM 进行认证之前，用户必须已经存在于数据库中。 有关 PAM 的更多信息，请阅读 Linux-PAM页面 。

下列被支持的配置选项用于 PAM：

pamservice

PAM服务名称。

pam_use_hostname

判断是否通过PAM_RHOST项把远程 IP 地址或者主机名提供给 PAM 模块。默认情况下会使用 IP 地址。把这个选项设置为 1 可以使用解析过的主机名。主机名解析可能导致登录延迟（大部分的 PAM 配置不使用这些信息，因此只有使用为利用这种信息而特别创建的 PAM 配置时才需要考虑这个设置）。

注意

如果 PAM 被设置为读取/etc/shadow，认证将会失败，因为KingbaseES 服务器是由一个非 root 用户启动 。然而，当 PAM 被配置为使用 LDAP 或其他认证验证方法时这就不是一个问题。