PAM: UNIX アカウントの更新は成功するのに検証が失敗する
search cancel

PAM: UNIX アカウントの更新は成功するのに検証が失敗する

book

Article ID: 386259

calendar_today

Updated On:

Products

CA Privileged Access Manager (PAM)

Issue/Introduction

Privileged Access Manager (以下、PAM) の複数のサーバ上でターゲットアカウントのパスワード更新が成功した後で、検証を行うと失敗して検証済みが失敗の状況となる。

これらのアカウントは root の直接のリモートログインが許可されていないため、更新および検証を non-root のマスターアカウントで行うように設定されている。

Environment

Privileged Access Manager: 全てのバージョン

Cause

マスターアカウントが su コマンドの実行権限を持っていなかったことが原因でした。

PAM では別のアカウント経由で管理対象のアカウントの検証を行う場合、一旦別のアカウントでログイン後、 "su - <管理アカウント>" コマンドを実行して検証を行います。 
この動作により、アカウントのパスワード入力が求められるため、検証を実行することができます。

Resolution

マスターアカウントに "su" コマンドの実行件を付与します。

ここで、root をマスターアカウントにするときは注意が必要です。
root は他のユーザに su コマンドで成り代わる際に パスワードが必要ないため、su コマンドを2回実行する必要があります。
この時には管理対象アカウントが su を実行できる権限が必要となります。

Additional Information

こちらの文書は以下の KB から翻訳、加筆修正を行いました。

Article ID:  206764: UNIX account verification by other account fails while update is successful