user1 хочет выполнить su для user2 (оба не root). Когда user1 запускает su - user2, ему, как и ожидалось, предлагается ввести пароль user2, но пароль так и не принимается.
user1@host $ su - user2 (switch from user1 to user2)
Password:
su: incorrect password
user1@host $
user2 — это действующая, разблокированная учетная запись с реальной оболочкой, указанной в /etc/passwd. Вы можете подключиться по SSH как user2 к полю ( ssh user2@host). Кроме того, в моем тестировании у user1 и user2 был одинаковый пароль, так что это не вопрос несоответствия паролей (предоставление пароля user2, когда ожидается пароль user1, или наоборот).
Странно, pam_tally2увеличивает неудачный вход пользователя 2, но ничего не регистрируется в /var/log/secure. Если на то пошло,ничегозарегистрирован в чем-либо еще в /var/log, либо.
Я могу обойти это, добавив следующую строку в sudoers:
user1 ALL=(ALL) /bin/su
... и запустив команду с помощью sudo:
user1@host $ sudo su - user2
Однако мне хотелось бы узнать, почему я не могу просто запустить su.
Это RHEL5-бокс, в котором STIG применяются автоматически с помощью Aqueduct, поэтому я не уверен, что именно было изменено в /etc/pam.d.
решение1
Не имея вашего /etc/pam.d/suя могу только предположить, что:
- вероятно,
suограничивается группой,wheelиспользующейauth required pam_wheel.so - стек pam неправильно настроен
Для получения подсказки о том, как использовать pam_tally2в RHEL5, проверьтездесь,