# su geht ned, user aber in  gruppe wheel !!

## gfc

So, hab auch mal wieder ein kleines Problem:

das steht in der /etc/group:

```
wheel::10:root,roman
```

aber bei dem versuch, su beim user roman durchzuführen, kommt nur:

Sorry, authentication denied

in der /etc/pam.d/su steht folgendes:

```

#%PAM-1.0

auth       sufficient   /lib/security/pam_rootok.so

# If you want to restrict users begin allowed to su even more,

# create /etc/security/suauth.allow (or to that matter) that is only

# writable by root, and add users that are allowed to su to that

# file, one per line.

#auth       required     /lib/security/pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.allow

# Uncomment this to allow users in the wheel group to su without

# entering a passwd.

#auth       sufficient   /lib/security/pam_wheel.so use_uid trust

# Alternatively to above, you can implement a list of users that do

# not need to supply a passwd with a list.

#auth       sufficient   /lib/security/pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.nopass

# Comment this to allow any user, even those not in the 'wheel'

# group to su

auth       required     /lib/security/pam_wheel.so use_uid

auth       required   /lib/security/pam_stack.so service=system-auth

account    required   /lib/security/pam_stack.so service=system-auth

password   required   /lib/security/pam_stack.so service=system-auth

session    required   /lib/security/pam_stack.so service=system-auth

session    optional   /lib/security/pam_xauth.so

```

auf dem letzten PC hab ich alles hinbekommen, mit der 1.4rc3 jetzt geht su ned... weiss wer wieso? Danke für die Hilfe

----------

## gfc

ok.. jetzt hab ich die su in /etc/pam.d verbessert (sorry, was wohl blind) und die erste Zeile auskommentiert..

nun kommt das:

```

roman@localhost roman $ su

Password:

su: Error in service module

Sorry.

```

----------

## lo4dro

was zeigt "groups" ?

wenn dort keine whell steht, auslogen einlogen & noch mal schauen.

----------

## gfc

ausgabe groups:

```

roman@localhost roman $ groups

users bin adm tty disk lp wheel mail man console audio cdrom ftp sshd video gdm games mysql cdrw usb qmail postfix portage

```

----------

## Beforegod

Du möchtest mit su ohne Password die Benutzer einloggen lassen?

Oder warum hast Du dann die erste Zeile auskommentiert?

Dein Problem ist eigentlich schon beschrieben :

```

# If you want to restrict users begin allowed to su even more,

# create /etc/security/suauth.allow (or to that matter) that is only

# writable by root, and add users that are allowed to su to that

# file, one per line.

```

Also lege eine /etc/security/suauth.allow an und schreiben Deinen Benutzer rein..

```

echo roman >> /etc/security/suauth.allow

```

Viel spass!

----------

## gfc

also.. in meinen zweiten Posting steht ja, das ich es auskommentiert habe.. 

und jetzt hab ich auch die datei angelegt und mich eingetragen..

aber reat mal: es geht immer noch nicht.. und su ohne pwd möcht ich nicht zulassen..

----------

## Beforegod

Ja klar  :Wink: 

das habe ich gelesen..

meine Formulierug war falsch..

Kommentiere das wieder, und probiers nochmal.

Ansonsten schau mal ob in Deinen USE Flags pam steht!

----------

## gfc

oha.. hat sich doch was verändert.. statt Authetication bekomm ich jetzt folgendes:

```

roman@localhost security $ su

Password:

su: Module is unknown

Sorry.

```

----------

## weltraumfahrer

Hi,

in der pam.d musste ich überhaupts nicht verändern. Egal.

Ich habe nur 'ne frage was du in den folgenden Gruppen verloren hast;-)

mail, man, sshd, gdm, qmail, postfix, tty, ftp, sshd

Arbeite doch gleich als root.

Ich bin in keiner der obigen Gruppen und kann mailen, ssh, ftp, mysql, ...

... allerdings bin ich in der Gruppe cron (hast du wohl vergessen) und kanne eigene Cronjobs anlegen;-)

Frank

----------

## MasterOfMagic

hast du irgendwas an den pam-modulen umgestellt? anders kann ich mir das nicht erklären. bei mir ging das auch gleich out-of-box nachdem der user in der gruppe wheel aufgenommen war.

mfg

masterofmagic

----------

## gfc

das is ja das komische.. hab rein gar nix umgestellt...

und ich hab bereits zwei PC zuvor mit gentoo beglückt und da gings auch "out-of-the-box"...

----------

## gfc

so..

ein emerge pam hat auch nicht an der Tatsache geändert.. hat wer nen tipp, wie ich trotzdem zu nem funktionierenden System komme?

Oder kann mir wer seine /etc/pam.d/su schicken?

----------

## wudmx

```

#%PAM-1.0

auth       sufficient   /lib/security/pam_rootok.so

# If you want to restrict users begin allowed to su even more,

# create /etc/security/suauth.allow (or to that matter) that is only

# writable by root, and add users that are allowed to su to that

# file, one per line.

#auth       required     /lib/security/pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.allow

# Uncomment this to allow users in the wheel group to su without

# entering a passwd.

#auth       sufficient   /lib/security/pam_wheel.so use_uid trust

# Alternatively to above, you can implement a list of users that do

# not need to supply a passwd with a list.

#auth       sufficient   /lib/security/pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.nopass

# Comment this to allow any user, even those not in the 'wheel'

# group to su

auth       required     /lib/security/pam_wheel.so use_uid

auth       required   /lib/security/pam_stack.so service=system-auth

account    required   /lib/security/pam_stack.so service=system-auth

password   required   /lib/security/pam_stack.so service=system-auth

session    required   /lib/security/pam_stack.so service=system-auth

session    optional   /lib/security/pam_xauth.so
```

ich hab noch nie was an der datei gemacht, undmein gentoo exisitert so erst seit einem monat!

----------

## Beforegod

Interessant wäre es zu wissen welche Kernel Du verwendest..

evt. einen GR SEcurity Kernel?

Wenn ja welche Einstellungen usw.

Ansonsten probiere nochmal su neu zu emergen, und danach mal ein env-update.

Irgendwo ist der Bock drinnen.

Probiere auch mal einen anderen BEnutzer anzulegen und diesen mit folgendem Kommando zu erstellen :

```

useradd -g users -G wheel,audio test

passwd test

```

Danach log Dich als test ein und probiere su.

Wenn es dort auch nicht geht, hast Du ein Problem mit Deinen Modules (evt. mal Deine CFLAGS einfügen)

Sollte es dort gehen, macht Dein Benutzer probleme.

----------

## gfc

also.. weder die gepostet /etc/pam.d/su haben genützt noch konnte sich der user test einloggen.. an den Kernel hab ich im Moment auch gedacht..

ich hab die gentoo-sources 2.4.20_rc2

die anderen 2 PC hatte ich noch die 19er version. GRsecurity is natürlich off, ansonsten ist er eigentlich stinknormal kompiliert.. 

also inkl acpi, scsi-emu, ali-chipset, und allen benötigten Flags der Doku... is ja ned mein erster Kernel, den ich mir backe.. 

ach ja, hier die lsmod:

```

localhost root # lsmod

Module                  Size  Used by    Tainted: P

snd-pcm-oss            39620   1  (autoclean)

snd-mixer-oss          13912   0  (autoclean) [snd-pcm-oss]

snd-ali5451            13900   1

snd-pcm                64288   0  [snd-pcm-oss snd-ali5451]

snd-timer              11976   0  [snd-pcm]

snd-ac97-codec         33448   0  [snd-ali5451]

snd                    34508   0  [snd-pcm-oss snd-mixer-oss snd-ali5451 snd-pcm snd-timer snd-ac97-codec]

NVdriver             1066976  11

```

danke, dass ihr euch so mühe macht..

hier die CFLAGS:

CFLAGS="-march=pentium3 -O3 -pipe"

ich hab nen p4 mobile

sollt ich mal nen Vanilla aufsetzen und testen?

----------

## gfc

jetzt hab ich den Kernel neu kompiliert.. und zwar nicht mehr die gentoo-sources, sondern Vanilla-2.4.20

das Gute: endlich kann ich den Akkustand ablesen ..

das Schlechte: su geht immer noch nicht

ach ja: mounten kann ich auch ned... need to be superuser.. wieso den dat?

----------

## gfc

gut, jetzt hab ich mir gestern noch schnell das System so zerschossen, dass ich mich ned mal mehr einloggen kann..

anyway.. so ging das ned weiter.. ich arbeite doch ned an nem geflickten system..

--> rm -fr /

jetzt is grad emerge system dran.. heute abend sollte dann alles ink. X fertig sein und morgen kompilier ich kde..

----------

