user1 は user2 に su したいと考えています (どちらも非 root)。user1 が を実行するとsu - user2、予想どおりに user2 のパスワードの入力を求められますが、パスワードは受け入れられません。
user1@host $ su - user2 (switch from user1 to user2)
Password:
su: incorrect password
user1@host $
user2 は、 で指定された実際のシェルを持つ、有効なロック解除されたアカウントです/etc/passwd。ボックス ( ssh user2@host) に user2 として SSH 接続できます。また、私のテストでは、user1 と user2 は同じパスワードを持っているため、パスワードの不一致 (user1 のパスワードが期待されているときに user2 のパスワードを指定したり、その逆を行ったりする) の問題ではありません。
奇妙なことに、pam_tally2user2の失敗したログインは増加しますが、何も記録されません/var/log/secure。何もないの他のものにも記録されませ/var/logん。
この問題を回避するには、sudoers に次の行を追加します。
user1 ALL=(ALL) /bin/su
... sudo でコマンドを実行します:
user1@host $ sudo su - user2
しかし、なぜ su を実行できないのかを知りたいと思います。
これは、Aqueduct で自動的に STIG が適用された RHEL5 ボックスなので、 で何が変更されたかはわかりません/etc/pam.d。
答え1
あなたの情報を知らないので、/etc/pam.d/su私は推測することしかできません:
- おそらくグループの使用
suに制限されていますwheelauth required pam_wheel.so - PAMスタックの設定が間違っている
pam_tally2RHEL5での使用方法については、ここ、