Le standard PAM définit quatre types de modules. Les modules
auth sont utilisés pour une identification normale (nom et
mot de passe par exemple) et positionnent des crédits comme
l'appartenance à un groupe, ou des ticketsKerberos. Les
modules account vérifient que l'identification est autorisée
(vérifie si le compte n'a pas expiré, que l'utilisateur peut se
connecter à cette heure de la journée, etc.). Les modules
password sont utilisés pour définir les mots de passe. Les
modules session sont utilisés après l'identification de
l'utilisateur pour qu'il puisse utiliser son compte, monter son
répertoire utilisateur ou accéder à sa boîte
aux lettres.
Les modules peuvent être empilés pour en utiliser plusieurs.
Par exemple, rlogin utilise au moins deux méthodes
d'identification : si l'identification rhosts réussit vous
pouvez vous connecter, si elle échoue, l'authentification standard par
mot de passe est utilisée.
Vous pouvez ajouter des modules à n'importe quel moment, les applications PAM pourront ensuite les utiliser. Par exemple, si vous avez un système de calcul de mots de passe éphémères et que vous pouvez écrire un module pour le gérer (la documentation sur l'écriture de modules est fournie avec le système), les applications PAM pourront utiliser ce nouveau module et travailler avec les nouveaux calculateurs de mots de passe éphémères sans devoir être recompilés ou modifiés.