Hay cuatro tipos de módulos definidos por el PAM: módulos de autenticación que validan los usuarios, probablemente solicitando y verificando contraseñas y configurando credenciales como liberando accesos a grupos o creando tickets como en el software de seguridad Kerberos; módulos de control que garantizan la autenticación (verifican si la cuenta no ha expirado, si el usuario puede acceder al sistema en determinados horarios, etc.); módulos de contraseñas, utilizados para la creación y configuración de contraseñas y módulos de sesión que son utilizados para liberar los recursos necesarios para el usuario válido, como el montaje del directorio personal, disponibilidad de correo, etc.
Estos módulos pueden estar separados, pudiendo ser utilizados de varias maneras. Como por ejemplo el rlogin que normalmente utiliza como mínimo dos métodos de autenticación: en el caso de que el rhosts autorice el acceso, la conexión se establece, en el caso contrario, se utiliza el módulo de autenticación de contraseñas.
Pueden ser adicionados nuevos módulos a cualquier tiempo y nuevas aplicaciones pueden utilizar el PAM. Por ejemplo, en el caso de que se tenga un sistema que calcule una contraseña para uso una única vez, se puede escribir el módulo para soportar esta funcionalidad (documentación sobre el desarrollo de módulos se puede encontrar con el sistema). Programas que actúan junto con PAM pueden usar el nuevo módulo sin la necesidad de recompilar o alterar el nuevo módulo.