Benutzer1 möchte sich mit su an Benutzer2 wenden (beide sind keine Root-Benutzer). Wenn Benutzer1 ausführt su - user2, wird er wie erwartet nach dem Passwort von Benutzer2 gefragt, aber das Passwort wird nie akzeptiert.
user1@host $ su - user2 (switch from user1 to user2)
Password:
su: incorrect password
user1@host $
Benutzer2 ist ein gültiges, entsperrtes Konto mit einer echten Shell, die in angegeben ist /etc/passwd. Sie können als Benutzer2 per SSH auf die Box ( ssh user2@host) zugreifen. Außerdem haben Benutzer1 und Benutzer2 bei meinen Tests dasselbe Passwort, es handelt sich also nicht um eine Passwort-Nichtübereinstimmung (Angabe des Passworts von Benutzer2, wenn das von Benutzer1 erwartet wird, oder umgekehrt).
Merkwürdigerweise pam_tally2wird die fehlgeschlagene Anmeldung von Benutzer2 erhöht, aber es wird nichts protokolliert /var/log/secure.Nichtsist auch bei nichts anderem in angemeldet /var/log.
Ich kann dies umgehen, indem ich diese Zeile zu sudoers hinzufüge:
user1 ALL=(ALL) /bin/su
... und Ausführen des Befehls mit sudo:
user1@host $ sudo su - user2
Ich möchte jedoch herausfinden, warum ich „su“ nicht einfach ausführen kann.
Dies ist eine RHEL5-Box, auf der STIGs automatisch mit Aqueduct angewendet werden, daher bin ich nicht sicher, was in geändert wurde /etc/pam.d.
Antwort1
Da ich Ihr nicht habe, /etc/pam.d/sukann ich nur Folgendes vermuten:
- ist wahrscheinlich
suauf diewheelGruppe beschränkt, dieauth required pam_wheel.so - der PAM-Stack ist falsch konfiguriert
Einen Hinweis zur Verwendung pam_tally2in RHEL5 finden Sie unterHier,