Micheal,<div><br></div><div>You can also try this for multiple users based on a group</div><div><br></div><div><div>account  [default=1 success=ignore] pam_succeed_if.so quiet user ingroup <group_name></div><div>account  sufficient     pam_permit.so</div>
<div>account    required     pam_nologin.so</div><div>account    include      system-auth</div><div><br></div>Regards,<br><br>Viswanath<br>
<br><br><div class="gmail_quote">On Thu, May 6, 2010 at 6:46 PM, Viswanath Kasi <span dir="ltr"><<a href="mailto:viswanath.kvg@gmail.com">viswanath.kvg@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hi! Michael<div><br></div><div>I made the following changes which worked for me on sshd service with out changing system auth.</div><div><br></div><div><span style="font-family:arial, sans-serif;font-size:13px;border-collapse:collapse">auth       include      system-auth</span></div>

<div><div>account  [default=1 success=ignore] pam_succeed_if.so quiet user = <user></div><div>account  sufficient     pam_permit.so</div><div class="im"><div>account    required     pam_nologin.so</div><div>account    include      system-auth</div>

<div><br></div></div><div>You can try this..!</div><div><br></div>Regards,<br><font color="#888888"><br>Viswanath</font><div><div></div><div class="h5"><br>
<br><br><div class="gmail_quote">On Tue, May 4, 2010 at 12:16 AM, Hebenstreit, Michael <span dir="ltr"><<a href="mailto:michael.hebenstreit@intel.com" target="_blank">michael.hebenstreit@intel.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'm sorry to hit the entire list with this question but after some hours research I'm still unable to find a solution to my problem. I need a way to allow certain users (eg the administrators) access to a system even when /etc/nologin is present. The orginal Redhat 5 config read like:<br>


<br>
  auth       include      system-auth<br>
  account    required     pam_nologin.so<br>
  account    include      system-auth<br>
  ....<br>
<br>
with system-auth containing<br>
<br>
  ...<br>
  account     required      pam_unix.so<br>
  account     sufficient    pam_succeed_if.so uid < 500 quiet<br>
  account     required      pam_permit.so<br>
  ...<br>
<br>
My modification would be:<br>
<br>
  #%PAM-1.0<br>
  auth       include      system-auth<br>
  account    include      system-auth<br>
  account    sufficient   pam_listfile.so onerr=fail item=user sense=allow file=/etc/admins<br>
  account    required     pam_nologin.so<br>
  ....<br>
<br>
Which holes do I open by moving pam_nologin.so to the end of the stack? Are there better ways to reach my goal?<br>
<br>
thanks for any help<br>
Michael<br>
<br>
<br>
------------------------------------------------------------------------<br>
Michael Hebenstreit                 Senior Cluster Architect<br>
Intel Corporation                   Software and Services Group/DRD<br>
2800 N Center Dr, DP3-307           Tel.:   +1 253 371 3144<br>
WA 98327, DuPont<br>
UNITED STATES                       E-mail: <a href="mailto:michael.hebenstreit@intel.com" target="_blank">michael.hebenstreit@intel.com</a><br>
<br>
_______________________________________________<br>
Pam-list mailing list<br>
<a href="mailto:Pam-list@redhat.com" target="_blank">Pam-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a><br>
</blockquote></div><br></div></div></div>
</blockquote></div><br></div>