Privileged Access Manager (以下、PAM) の複数のサーバ上でターゲットアカウントのパスワード更新が成功した後で、検証を行うと失敗して検証済みが失敗の状況となる。
これらのアカウントは root の直接のリモートログインが許可されていないため、更新および検証を non-root のマスターアカウントで行うように設定されている。
Privileged Access Manager: 全てのバージョン
マスターアカウントが su コマンドの実行権限を持っていなかったことが原因でした。
PAM では別のアカウント経由で管理対象のアカウントの検証を行う場合、一旦別のアカウントでログイン後、 "su - <管理アカウント>" コマンドを実行して検証を行います。
この動作により、アカウントのパスワード入力が求められるため、検証を実行することができます。
マスターアカウントに "su" コマンドの実行件を付与します。
ここで、root をマスターアカウントにするときは注意が必要です。
root は他のユーザに su コマンドで成り代わる際に パスワードが必要ないため、su コマンドを2回実行する必要があります。
この時には管理対象アカウントが su を実行できる権限が必要となります。
こちらの文書は以下の KB から翻訳、加筆修正を行いました。
Article ID: 206764: UNIX account verification by other account fails while update is successful