UNAB による認証が正常に完了いているにも関わらず、"pam_unix: authentication failure" というエラーがシスログに記録される
search cancel

UNAB による認証が正常に完了いているにも関わらず、"pam_unix: authentication failure" というエラーがシスログに記録される

book

Article ID: 398166

calendar_today

Updated On: 05-19-2025

Products

CA Privileged Access Manager - Server Control (PAMSC)

Issue/Introduction

Privileged Access Manager Server Control (以下、 PAMSC) で提供される Unix UNIX Authentication Broker ( 以下、UNAB) が構成されている環境で、AD ユーザのログインは成功しているが、 /var/log/secure に以下のようなエラーが記録されている。
...
Aug 3 11:49:09 rh73 sshd[12458]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=Administrator
Aug 3 11:49:09 rh73 sshd[12458]: Accepted password for Administrator from ::1 port 47750 ssh2
Aug 3 11:49:09 rh73 sshd[12458]: pam_unix(sshd:session): session opened for user Administrator by (uid=0)
...

同じように sesu コマンドで他のユーザに成り代わりを行った際にもエラーが記録されている。
seos.ini では old_sesu=no となっており、同様に PAM( Pluggable Authentication Modules ) が使用されている

...
Aug 3 14:02:05 rh73 sesu: pam_unix(etrust-ac:auth): authentication failure; logname=Administrator uid=2000 euid=0 tty=/dev/pts/1 ruser= rhost= user=Administrator
Aug 3 14:02:05 rh73 su: pam_unix(su:session): session opened for user root by Administrator(uid=0)
...

Environment

Privileged Identity Manager / Privileged Access Manager Server Control /UNIX Authentication Broker: 全てのバージョン

Cause

OS 標準の pam_unix 認証モジュールで間違った動作として間違った認証メッセージが記録されています。

Resolution

この事象を回避するために、PAM (Pluggable Authentication Modules) の構成を変更する必要があります。

社内の調査では pam_ftp module を pam_unix の代わりに使用することで、問題が回避できることがわかりました。
ただし、実際の環境で他の設定がされている場合には有効ではない可能性があります。
その場合は、お客様側で設定を試行錯誤で修正していただく必要があります。

変更の例を以下に記載します。

...
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth optional pam_ftp.so     # <- this line is to be insert
#auth optional pam_unix.so   # <- this line is to be commented out
auth sufficient pam_uxauth.so # added by UNAB (uxauth)
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so

account sufficient pam_uxauth.so
...

Additional Information

注: pam_unix は Broadcom が提供しないサードパーティ製の製品となるため、動作の不具合について修正を行う事はありません。

また、今回の変更の結果を社内で確認していますが、全ての動作を保証するものではありません。
お客様においてはテスト環境等で動作に影響がないかどうかを確認してから変更することを推奨とさせていただきます。

なお、本文書は 以下の英文の KB を翻訳し、加筆修正しました。

Article ID: 7874: "pam_unix: authentication failure" is issued to syslog even authentication of the user was successful by UNAB