Die Verwaltung der Benutzerdatenbanken wird in unterschiedliche Aufgabenbereiche aufgeteilt, für die wiederum einzelne PAM-Module zuständig sind.
Die Authentisierung stellt sicher, daß der Benutzer derjenige ist, der er vorgibt zu sein. Dieses wird in der Regel dadurch sichergestellt, daß nach einem zu dem aktuellen Account passenden Passwort gefragt wird. Zusätzlich legen die Module für diese Aufgabe unter Umständen die Zugehörigkeit zu Gruppen oder anderen Formen der Berechtigungsverwaltung fest.
Ein Modul für den Aufgabenbereich Account verwaltet Zugriffe auf das System, die unabhängig von der Authentisierung sind. Hier kann der Zugriff auf ein System abhängig von der (Tages-) Zeit oder der jeweiligen Konsole abhängig gemacht werden.
Die Sessionverwaltung führt spezielle Aufgaben vor Beginn oder nach Abschluß der Sitzung durch. Hier kann z.B. konfiguriert werden, daß das Homeverzeichnis des Benutzers gemounted wird oder Einträge in der wtmp Datenbank des Systems vorgenommen werden.
Die Passwort-Module sind für die Verwaltung der Authentisierungs-Tokens (i.d.R. Passwörter) zuständig. In der Regel ist für jede challenge/response basierende Methode ein einzelnes Modul vorhanden.