CENTOSでadduserで作成したユーザでログインできない

*環境
CENTOS4
GNOME
bash

*症状
[root@myhost ~]# su - hoge
su: パスワードが違います

・ルートユーザにもかかわらず一般ユーザにログインできない
・CENTOSのグラフィックログインで一般ユーザで入れない(rootのみ入れる)

*ためしたこと
root でGUIログインののち、
ユーザ追加
#adduser hoge
# id hoge
uid=508(hoge) gid=508(hoge) 所属グループ=508(hoge)

パスワード設定
# passwd hoge
Changing password for user hoge.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

shadow確認
# cat /etc/shadow | grep hoge
hoge:$1$XkexNO3i$HRO.MkHbbZPn2sImrUJ9O/:13650:0:99999:7:::

passwd確認
# cat /etc/passwd | grep hoge
hoge:x:508:508::/home/hoge:/bin/bash

homeディレクトリ確認
# ls -la /home/ | grep hoge
drwx------ 3 hoge hoge 4096 5月 18 01:12 hoge

上記設定のあと、
# su hoge
su: パスワードが違います

となってしまいます。
初歩的な質問ですが困り果てております
よろしくおねがいします。

ちなみにnologinは作成されていません。

# ls /etc/nologin
ls: /etc/nologin: そのようなファイルやディレクトリはありません

No.3 ベストアンサー 回答者： Wr5 回答日時： 2007/05/22 01:57

/etc/pam.d/system-authはどうでしょう？

ウチのは
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
です。

rpm -V pamとか、rpm -V coreutilsとか……
chkrootkitで調べてみるとか。

この回答への補足

/etc/pam.d/system-auth
を上記のとうり書き直したところ
一般ユーザでのログインに成功いたしました。

Wr5樣 本当にありがとうございます。
結局インストール時に
セキュリティのレベルをあげ過ぎたんでしょうか。

ほっとしております。

補足日時：2007/05/23 00:47

No.4 回答者： Wr5 回答日時： 2007/05/23 01:09

一応、chkrootkitなどで調べてみた方がいいかもしれません。

ps auxやらnetstat -lnpやらで怪しいプロセスが居ないかも。

chkrootkitのパッケージは…rpmで拾ってくることになりますか。

No.2 回答者： Wr5 回答日時： 2007/05/20 23:48

謎ですね。

ちなみにウチのサーバの/etc/pam.d/suは…
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session required /lib/security/$ISA/pam_selinux.so close
session required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session required /lib/security/$ISA/pam_selinux.so open multiple
session optional /lib/security/$ISA/pam_xauth.so
です。
pam_wheel.soのトコロは、今回の件には関係ない…でしょう。
(試した環境は仮想マシン上のですので、pam_wheel.soの行はコメントアウトされていたはず)
pam_selinux.so openの後が違うようですが…
SELinuxをpermissiveモードにしていれば関係ないと思われます。

yum updateでパッケージを更新してみるとか。

ランレベル3でもダメなんでしょうか？？

この回答への補足

ありがとうございます。

/etc/pam.d/su
を上述のものに書き変え
yum updateにて最新に更新しましたが
状況はかわりません。

原因は外のところに在るのでしょうか?
インストールするときに、
なにか手順をあやまったのかもしれませんね。

補足日時：2007/05/21 07:29

No.1 回答者： Wr5 回答日時： 2007/05/20 13:57

CentOS4.4で書かれている手順どおりに実施してみましたが…

普通にsuもGNOMEにログインも出来ましたが。

SELinuxの設定はどうなっていますか？
/etc/sysconfig/selinux に記述されていますが。
pamの設定だったりするのかも知れません。

この回答への補足

Wr5樣ありがとうございます。
ご指摘の在りました設定ファイルを参照してみましたが、
どのように修正すればよいのかご教示いただけないでしょうか。

**SELinuxの設定です。
# cat /etc/sysconfig/selinux
SELINUX=enforcing
SELINUXTYPE=targeted

**PAMの設定です。
# cat /etc/pam.d/login
#%PAM-1.0
auth required pam_securetty.so
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_stack.so service=system-auth
session required pam_loginuid.so
session optional pam_console.so
# pam_selinux.so open should be the last session rule
session required pam_selinux.so open

# cat /etc/pam.d/passwd
#%PAM-1.0
auth required pam_stack.so service=system-auth
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth


# cat /etc/pam.d/su
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session required /lib/security/$ISA/pam_selinux.so close
session required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session required /lib/security/$ISA/pam_selinux.so open
session optional /lib/security/$ISA/pam_xauth.so


# cat /etc/pam_smb.conf
MYGROUP

補足日時：2007/05/20 22:56

この回答へのお礼

/etc/sysconfig/selinux
の中で
SELINUX=permissive
としてPCを再起動いたしましたが、
状況は変っておりません。

# su hoge
su: パスワードが違います

お礼日時：2007/05/20 23:12