Bug 34180

Summary: Не удается сменить пользователя в консоли через su
Product: Sisyphus Reporter: Evgeniy Korneechev <ekorneechev>
Component: pam_pkcs11Assignee: manowar <manowar>
Status: ASSIGNED --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: manowar
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 34181    

Description Evgeniy Korneechev 2017-11-13 13:25:04 MSK 
# control pam-pkcs11-profile
rutokenecp
# control system-auth
pkcs11_strict
# control pkcs11-events
card_actions
# control su
public

Соответственно, есть пользователь user, с папкой ~/.eid и сертификатом в ней.
Вход в систему работает исправно. Но в командной строке войти по паролю под другим пользователем (член группы wheel) и под рутом не дает:
$ su testuser # или su -
su: Недостаточно учетных данных для доступа к данным проверки подлинности
Также в ЦУС (acc) войти не получается - при запуске GUI - аналогичная ошибка.

Ctrl+Alt+F2 - все ОК. И из lightdm - по паролю можно войти. 

PS Может баг в su - как надо не отрабатывает запрос учетных данных, почему-то требует наличие токена/сертификата для входа.
Comment 1 Evgeniy Korneechev 2017-11-13 13:29:19 MSK 
Если войти в систему по логину/паролю:
$ su -
Ошибка 2308: не найден токен
su: Службе проверки подлинности не удается загрузить сведения аутентификации
Comment 2 manowar@altlinux.org 2017-11-13 13:30:08 MSK 
Понял, вполне может быть. Не понял по описанию, можно ли в рута зайти из консоли? Напрямую, без su?
Comment 3 Evgeniy Korneechev 2017-11-13 13:33:39 MSK 
(В ответ на комментарий №2)
> Понял, вполне может быть. Не понял по описанию, можно ли в рута зайти из
> консоли? Напрямую, без su?

Да, через Ctrl+Alt+F* - все ОК.
Comment 4 manowar@altlinux.org 2017-11-13 14:58:15 MSK 
Значит нужно смотреть /etc/pam.d/su .
Comment 5 Evgeniy Korneechev 2017-11-13 15:47:58 MSK 
(В ответ на комментарий №4)
> Значит нужно смотреть /etc/pam.d/su .

# cat /etc/pam.d/su | grep -v ^'#'
auth		sufficient	pam_rootok.so
auth		include		system-auth
account		include		system-auth
password	required	pam_deny.so
session		include		system-auth
session		optional	pam_xauth.so