El estándar PAM define cuatro tipos de Módulos. Los módulos auth proporcionan la autenticación en sí misma, por un lado solicitando y chequeando la contraseña, y por otro otorgando ``credenciales'' como miembro de un grupo o ``pases'' kerberos. Los módulos account comprueban para asegurarse que la autenticación es válida (que la cuenta no haya expirado, que al usuario se le permita registrarse a esa hora del día, etc.). Los módulos password se utilizan para fijar las contraseñas. Los módulos session se utilizan para poner a disposición del usuario su cuenta, una vez que éste se ha autenticado, posiblemente montando su directorio de trabajo o poniendo disponible su cuenta de correo.
Estos módulos pueden apilarse, pudiendo así usar múltiples módulos. Por ejemplo, rlogin normalmente hace uso de al menos dos métodos de autenticación: si tiene éxito la autenticación de ``rhosts'', esto es suficiente para permitir la conexión; si fracasa, se realizará la autenticación de contraseñas estándar.
En cualquier momento se podrán añadir nuevos módulos, y entonces las aplicaciones PAM podrán hacer uso de ellos. Por ejemplo, si usted tiene un sistema generador de contraseñas de una sola vez, y puede realizar un módulo que lo soporte (con el sistema se incluye documentación sobre la realización de módulos), entonces los programas PAM podrán usar el nuevo módulo y trabajar con el nuevo generador de contraseñas de una sola vez sin tener que recompilar o realizar modificaciones.