我有一个箱子从CentOS 5升级到CentOS 6.在原始服务器上,所有用户都有MD5密码。 升级后的服务器现在使用SHA-512密码。
自升级以来已更改其密码并在/etc/shadow具有SHA-512密码的用户能够成功使用crontab ,但未更改其密码且仍旧具有旧MD5密码的用户无法使用crontab 。 他们收到的错误消息是:
Authentication service cannot retrieve authentication info You (_username_) are not allowed to access to (crontab) because of pam configuration.
我已经看过/etc/pam.d/system-auth ( 你也可以 ),但我不确定如何调整以允许尚未更改密码的用户访问crontab。
我很清楚,我可以强制每个人用chage -d 0来更改他们的密码,并且更改密码的用户将重新获得对crontab的访问权限(以及其他可能被破坏的内容),但是我有一些用户需要编辑他们的下一次login之前的crontab,以及使用crontab -e -u _username_作为根也失败,具有完全相同的错误,如上所示。
奇怪的是,这个问题没有出现在我的开箱。 在部署之前,我已经在临时框中遇到了这个问题。 用旧的MD5密码的开发盒上的用户可以访问crontab就好了,而/etc/pam.d/system-auth是相同的。 除了IP地址之外,dev和staging框应该是相同的。 我怀疑我错过了一些非常明显和愚蠢的事情
所以我的问题是,如何为尚未更改密码并被SHA-512散列的用户启用对crontab的访问? 或者,我该如何解决这个问题?
发布问题后,我设法解决了这个问题。
事实certificate,受影响的MD5密码用户的/etc/shadow条目在重复散列密码之后有某种方式,导致PAM无法解释该行。 换句话说,一个不好的剪切和粘贴作业。
我没有足够的咖啡…
我也有这个问题,事实certificate,/ etc / shadow没有该用户的条目。 使用pwck添加用户,问题解决了。
有相同的问题。 如果您不需要帐户的确切密码,只需运行:
pwconv