<div><br></div><div>hi Jon,</div><div><br></div><div><br></div><div>I updated my crond file content according to your reply but result does not change.</div><div><br></div><div>===========  /etc/pam.d/crond  ================</div>
<div><div>#</div><div># The PAM configuration file for the cron daemon</div><div>#</div><div>#</div><div>auth       sufficient pam_env.so</div><div>auth       required   pam_rootok.so</div><div>auth       include    system-auth</div>
<div><br></div><div>account    sufficient pam_rootok.so</div><div>#account    required   pam_access.so</div><div>#account    include   system-auth</div><div>account    required   pam_unix.so</div><div>account    required   pam_tally.so</div>
<div><br></div><div>session    required   pam_loginuid.so</div><div>session    include    system-auth</div></div><div><br></div><div>===================================</div><div><br></div><br><br><div class="gmail_quote">
On Thu, Dec 29, 2011 at 2:39 PM, Jon Miller <span dir="ltr"><<a href="mailto:jonebird@gmail.com">jonebird@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What I do in these situations is manually do the "include" for<br>
system-auth and then remove the unnecessary lines.<br>
That is, keep your first two lines, then replace the third line with<br>
the "account" entries of system-auth. At that point you have an<br>
identical setup but you can now try commenting out the pam_access<br>
account line without needing to affect any other pam files which may<br>
also include system-auth.<br>
<span class="HOEnZb"><font color="#888888"><br>
-- Jon Miller<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On Thu, Dec 29, 2011 at 3:18 AM, ANIL KARADAĞ <<a href="mailto:anil.karadag@gmail.com">anil.karadag@gmail.com</a>> wrote:<br>
> Hi Ben,<br>
><br>
> /etc/pam.d/crond includes the following lines;<br>
><br>
> account    sufficient  pam_rootok.so<br>
> account    required   pam_access.so<br>
> account    include    system-auth<br>
><br>
> crond with the above lines exits with an account expiration error if root<br>
> password is expired.<br>
><br>
> If crond uses "account    sufficient   pam_access.so" instead of "account<br>
>  required   pam_access.so", root's jobs can be run.<br>
><br>
> Does "sufficient" flag cause to access problem?<br>
><br>
><br>
><br>
> On Wed, Dec 28, 2011 at 7:12 PM, ben <<a href="mailto:ben@appliedplastic.com">ben@appliedplastic.com</a>> wrote:<br>
>><br>
>> On 12/28/2011 5:39 AM, Jon Miller wrote:<br>
>> > Sorry but I do not have a direct answer to your question, however it<br>
>> > is my opinion that the use of pam_access doesn't make much sense for<br>
>> > /etc/pam.d/crond. Cronjobs are for users which already have access<br>
>> > whereas pam_access would be controlling who gained access in the first<br>
>> > place. My suggestion is to completely remove that line from crond.<br>
>> ><br>
>> > -- Jon Miller<br>
>><br>
>> I suspect that pam_access is used to deny expired users. you might look<br>
>> at adding a root ok module first.<br>
>><br>
>> --<br>
>> Ben Hildred<br>
>> Estimator<br>
>> Applied Plastic Coatings, Inc.<br>
>> 5000 Tabor St.<br>
>> Wheat Ridge, CO 80033<br>
>> <a href="tel:303%20424%209200" value="+13034249200">303 424 9200</a><br>
>> F: <a href="tel:303%20424%208800" value="+13034248800">303 424 8800</a><br>
>> <a href="mailto:ben@appliedplastic.com">ben@appliedplastic.com</a><br>
>> <a href="http://appliedplastic.com" target="_blank">http://appliedplastic.com</a><br>
>><br>
>> _______________________________________________<br>
>> Pam-list mailing list<br>
>> <a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
>> <a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a><br>
><br>
><br>
><br>
><br>
> --<br>
> Anıl KARADAĞ<br>
> <a href="http://anilkaradag.info/blog" target="_blank">http://anilkaradag.info/blog</a><br>
><br>
> _______________________________________________<br>
> Pam-list mailing list<br>
> <a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a><br>
<br>
_______________________________________________<br>
Pam-list mailing list<br>
<a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Anıl KARADAĞ<br><a href="http://anilkaradag.info/blog">http://anilkaradag.info/blog</a><br>