通常のユーザーアカウント間のsuが「su：不正なパスワード」で失敗する

user1は、user2にsuしたいと考えています（どちらも非rootです）。 user1が_su - user2_を実行すると、user2のパスワードの入力を求められますが、パスワードは受け入れられません。

_user1@Host $  su - user2   (switch from user1 to user2)
Password:
su: incorrect password
user1@Host $
_

user2は、実際のシェルが_/etc/passwd_で指定されている有効なロック解除されたアカウントです。ボックスにuser2としてSSHで接続できます（_ssh user2@Host_）。また、私のテストでは、user1とuser2が同じパスワードを持っているため、パスワードの不一致は問題になりません（user1が予期されているときにuser2のパスワードを指定するか、またはその逆）。

奇妙なことに、_pam_tally2_はuser2の失敗したログインをインクリメントしますが、_/var/log/secure_には何も記録されません。そのことについては、 何もない _/var/log_の他の何にも記録されます。

これを回避するには、次の行をsudoersに追加します。
user1 ALL=(ALL) /bin/su

...そしてSudoでコマンドを実行します：
_user1@Host $ Sudo su - user2_

ただし、なぜsuを実行できないのかを知りたいのですが。

これは、Aqueductで自動的にSTIGが適用されるRHEL5ボックスなので、_/etc/pam.d_で何が変更されたのかわかりません。