<div dir="ltr"><div><div>HI, <br></div>Finally, I found it out  the order of pam_loginuid was wrong. It should be the first part of session required modules. <br></div><div>Now, it works<br></div><div>Thanks a lot<br></div>
<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jul 25, 2013 at 4:58 PM, zhu xiuming <span dir="ltr"><<a href="mailto:xiumingzhu@gmail.com" target="_blank">xiumingzhu@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>So, what should be the right settings for pam_loginuid? Is there any documentation ?<br><br></div>thanks a lot<br>
</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jul 25, 2013 at 4:54 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Thursday, July 25, 2013 03:35:52 PM zhu xiuming wrote:<br>
> The problem is, cat /proc/self/loginuid is still 4294967295 if I login.<br>
><br>
> However, I do see lots of events the auid is 0.  I even see auid change<br>
> reflect in the event.<br>
> Like<br>
><br>
> type=LOGIN msg=audit(07/20/2013 17:45:01.502:40221) : login pid=4952<br>
> uid=root old auid=unset new auid=root<br>
<br>
</div>This would be a root login. Which should be forbidden since root is a shared<br>
account amongst admins.<br>
<div><br>
<br>
> So, I am really confused.<br>
<br>
</div>Something is wrong in your pam setup. You might check the compile flags or if<br>
pam_loginuid is in the right section. But that is undoubtedly the problem.<br>
<span><font color="#888888"><br>
-Steve<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>