Hi Ben,<div><br></div><div>/etc/pam.d/crond includes the following lines;</div><div><br></div><div><div>account    sufficient  pam_rootok.so</div><div>account    required   pam_access.so</div><div>account    include    system-auth</div>
</div><div><br></div><div>crond with the above lines exits with an account expiration error if root password is expired. </div><div><br></div><div>If crond uses "account    sufficient   pam_access.so" instead of "account    required   pam_access.so", root's jobs can be run. </div>
<div><br></div><div>Does "sufficient" flag cause to access problem?  </div><div><br></div><div><br><br><div class="gmail_quote">On Wed, Dec 28, 2011 at 7:12 PM, ben <span dir="ltr"><<a href="mailto:ben@appliedplastic.com">ben@appliedplastic.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 12/28/2011 5:39 AM, Jon Miller wrote:<br>
> Sorry but I do not have a direct answer to your question, however it<br>
> is my opinion that the use of pam_access doesn't make much sense for<br>
> /etc/pam.d/crond. Cronjobs are for users which already have access<br>
> whereas pam_access would be controlling who gained access in the first<br>
> place. My suggestion is to completely remove that line from crond.<br>
><br>
> -- Jon Miller<br>
<br>
</div>I suspect that pam_access is used to deny expired users. you might look<br>
at adding a root ok module first.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Ben Hildred<br>
Estimator<br>
Applied Plastic Coatings, Inc.<br>
5000 Tabor St.<br>
Wheat Ridge, CO 80033<br>
<a href="tel:303%20424%209200" value="+13034249200">303 424 9200</a><br>
F: <a href="tel:303%20424%208800" value="+13034248800">303 424 8800</a><br>
<a href="mailto:ben@appliedplastic.com">ben@appliedplastic.com</a><br>
<a href="http://appliedplastic.com" target="_blank">http://appliedplastic.com</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Pam-list mailing list<br>
<a href="mailto:Pam-list@redhat.com">Pam-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pam-list" target="_blank">https://www.redhat.com/mailman/listinfo/pam-list</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Anıl KARADAĞ<br><a href="http://anilkaradag.info/blog">http://anilkaradag.info/blog</a><br>
</div>