A lógica geral é que um programa habilitado para PAM que lida com logins de shell atingirá as pilhas auth
, account
e session
em sequência, mas um programa pode simplesmente ignorar qualquer um deles se lidar com um ou mais dessas funções com suas próprias implementações.
sshd
suporta alguns modos de autenticação que não podem ser delegados ao PAM, porque eles dependem de métodos que não se enquadram no escopo da negociação de senha ou resposta de desafio. Estes são tipicamente baseados em chaves ou tickets: chaves ssh, GSSAPI / krb5, etc.