Hi Jon,<div><br></div><div>thanks for quickly reply. I tried your opinion but it does not provide my target. root password is expired and root's cron jobs is not run</div><div><br></div><div><br></div><div>/var/log/cron--></div>
<div><br></div><div><div>2011-12-28T15:28:01.848488+02:00 crond[11683]: User account has expired</div><div>2011-12-28T15:28:01.848714+02:00 crond[11683]: CRON (root) ERROR: failed to open PAM security session: Success</div>
<div>2011-12-28T15:28:01.848745+02:00 crond[11683]: CRON (root) ERROR: cannot set security context</div><div><br></div><div><br></div><div>I think system-auth does not allow it. How to ignore account expiration ?</div><div>
<br></div><div>  </div><br><div class="gmail_quote">On Wed, Dec 28, 2011 at 2:39 PM, Jon Miller <span dir="ltr"><<a href="mailto:jonebird@gmail.com">jonebird@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sorry but I do not have a direct answer to your question, however it<br>
is my opinion that the use of pam_access doesn't make much sense for<br>
/etc/pam.d/crond. Cronjobs are for users which already have access<br>
whereas pam_access would be controlling who gained access in the first<br>
place. My suggestion is to completely remove that line from crond.<br>
<br>
-- Jon Miller<br>
<div><div class="h5"><br>
On Wed, Dec 28, 2011 at 7:12 AM, ANIL KARADAĞ <<a href="mailto:anil.karadag@gmail.com">anil.karadag@gmail.com</a>> wrote:<br>
> Hi,<br>
><br>
><br>
><br>
><br>
><br>
> I have a question about pam_access.so and need some suggestions. My problem<br>
> is if root password is expired, root’s cron job(s) can not be run. I found<br>
> two desing options;<br>
><br>
><br>
>     1 - root password is configured for non-expire<br>
><br>
><br>
>     2- /etc/pam.d/crond includes "account    sufficient   pam_access.so"<br>
> instead of "account    required   pam_access.so"<br>
><br>
><br>
><br>
> [1] is OK but i want to select second with some restriction(s). "sufficient"<br>
> flag does not prevent unauthorized attempt so i don't want use second<br>
> exactly.<br>
><br>
><br>
> how to define "account    required   pam_access.so with disable_aging=ok"<br>
><br>
><br>
><br>
> --<br>
> Anıl KARADAĞ<br>
> <a href="http://anilkaradag.info/blog" target="_blank">http://anilkaradag.info/blog</a><br>
><br>
</div></div>> _______________________________________________<br>
> Pam-list mailing list<br>
> <a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a><br>
<br>
_______________________________________________<br>
Pam-list mailing list<br>
<a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a></blockquote></div><br><br clear="all"><div><br></div>-- <br>Anıl KARADAĞ<br><a href="http://anilkaradag.info/blog">http://anilkaradag.info/blog</a><br>

</div>