user1 quer su para user2 (ambos são não-root). Quando o usuário1 executa su - user2 , ele solicita a senha do usuário2 como esperado, mas a senha nunca é aceita.
user1@host $ su - user2 (switch from user1 to user2)
Password:
su: incorrect password
user1@host $
user2 é uma conta desbloqueada válida com um shell real especificado em /etc/passwd . Você pode SSH como usuário2 para a caixa ( ssh user2@host ). Além disso, no meu teste, o usuário1 e o usuário2 têm a mesma senha, portanto, não é uma questão de incompatibilidade de senha (fornecendo a senha do usuário2 quando o user1 é esperado ou vice-versa).
Curiosamente, pam_tally2 incrementa o login com falha do user2, mas nada é registrado em /var/log/secure . Aliás, nada está registrado em algo mais em /var/log .
Eu posso resolver isso adicionando esta linha aos sudoers:
user1 ALL=(ALL) /bin/su
... e executando o comando com sudo:% user1@host $ sudo su - user2
No entanto, gostaria de descobrir por que não posso simplesmente executar o su.
Esta é uma caixa do RHEL5 que possui STIGs aplicados automaticamente com o Aqueduct, então não tenho certeza do que teria sido alterado em /etc/pam.d .
Não tendo seu /etc/pam.d/su , só posso adivinhar isso:
su está restrito ao grupo wheel usando auth required pam_wheel.so
Para uma sugestão de como usar pam_tally2 no RHEL5, verifique aqui ,