su между обычными учетными записями пользователей завершается ошибкой: su: неверный пароль

user1 хочет su для user2 (оба не являются root). Когда user1 работает su - user2, он запрашивает пароль user2, как и ожидалось, но пароль никогда не принимается.

user1@host $  su - user2   (switch from user1 to user2)
Password:
su: incorrect password
user1@host $

user2 - действительная, разблокированная учетная запись с реальной оболочкой, указанной в /etc/passwd, Вы можете SSH как user2 к коробке (ssh user2@host). Кроме того, в моем тестировании user1 и user2 имеют один и тот же пароль, так что дело не в несоответствии пароля (предоставление пароля user2, когда ожидается user1, или наоборот).

Как ни странно, pam_tally2 увеличивает неудачный вход user2, но ничего не регистрируется в /var/log/secure, В этом отношении ничто не зарегистрировано ни к чему в /var/log, или.

Я могу обойти это, добавив эту строку в sudoers:
user1 ALL=(ALL) /bin/su

... и запустив команду с помощью sudo:
user1@host $ sudo su - user2

Тем не менее, я хотел бы узнать, почему я не могу просто запустить su.

Это коробка RHEL5, в которой STIG применяются автоматически с Aqueduct, поэтому я не уверен, что изменилось бы в /etc/pam.d,