資深菜鳥工程師又來發問了。

最近新建了幾台 Linux 主機並便用 IPA 做帳號的集中管理，一直以來都沒什麼問題，但是最近這幾台的某個帳號卻出現了怪異的問題，當系統整個設定完成，我的 IPA 帳號可以順利登入，但是某一個 IPA 帳號卻出現無法登入的狀況，從中控台網頁中得知帳號的密碼過期，在變更密碼及重設過期日，後依然無法登入，這個帳號在其他相關的主機是可以正常登入的。

錯誤訊息如下：(/var/log/secure)
使用 putty 登入時的錯誤訊息
sshd[xxx]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=aaa
sshd[xxx]: pam_tally2(sshd:account): unknown option: reset
sshd[xxx]: pam_sss(sshd:account): Access denied for user aaa: 6 (Permission denied)
sshd[xxx]: error: PAM: User account has expired for hduser from x.x.x.x

若是用別的帳號登入系統，再使用 su - 去切換帳號，則會出現以下訊息
su: pam_sss(su-l:auth): authentication success; logname=yyy uid=9999 euid=0 tty=pts/0 ruser=yyy rhost= user=aaa
su: pam_sss(su-l:account): Access denied for user aaa: 6 (Permission denied)

有比對過關於 pam.d 下的設定，新舊主機沒有什麼差異，到底是什麼原因造成的？

有試過用 root 去 su - ，因為不用密碼，所以能夠切換成功。

謝謝！