AppArmor のプロファイルは実行ファイルに対して適用されるもので、特定のプログラム内の機能が、ほかの箇所とは異なるアクセス許可を必要とする場合は、チェンジハットの機能を利用して、異なる役割であるハット (サブプロファイルとも呼ばれます) に切り替える処理を行います。 pam_apparmor という PAM モジュールでは、グループ名やユーザ名を基準にしたり、既定のプロファイルを適用したりして、認証済みのユーザを制限する機能を提供します。この機能を利用するには、 pam_apparmor を PAM のセッションモジュールとして登録する必要があります。

なお、 pam_apparmor は既定ではインストールされません。インストールを行いたい場合は、 YaST もしくは zypper をお使いください。 pam_apparmor の設定方法については、パッケージをインストールした際に配置される /usr/share/doc/packages/pam_apparmor/README をお読みください。 PAM に関する詳細は、 第2章 「PAM を利用した認証」 をお読みください。