(root) 使用 PAM 授权用户失败（权限被拒绝）

在跟踪 /var/log/cron 时，我注意到 cron 作业由于 PAM 权限而失败。在我的 access.conf 中，我确实有以下未注释的内容，以确保（或我认为确保）root 确实有权运行 cron 作业。

# User "root" should be allowed to get access via cron .. tty5 tty6.
+ : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6

我在 Centos 7 Kernel 3.10.0-693.21.1.el7.x86_64 上，我们已经通过领域、sssd、kerberos 将它连接到我们的 Windows 活动目录实例。我的安装步骤可以在这里找到Best Auth Mech to Connect to Windows AD

我现在不知所措，无法弄清楚可能是什么原因造成的。我仔细检查了root密码没有过期，也没有过期。当前的 root 访问权限是通过 windows 安全组配置的。

任何帮助将不胜感激！

编辑 我在 pam_access.so 的末尾添加了调试并得到以下信息

crond[17411]: pam_access(crond:account): login_access: user=root, from=cron, file=/etc/security/access.conf crond[17411]: pam_access(crond:account): line 60: - : ALL EXCEPT wheel shutdown sync : LOCAL root crond[17411]: pam_access(crond:account): list_match: list=ALL EXCEPT wheel shutdown sync, item=root crond[17411]: pam_access(crond:account): user_match: tok=ALL, item=root crond[17411]: pam_access(crond:account): string_match: tok=ALL, item=root crond[17411]: pam_access(crond:account): user_match: tok=wheel, item=root crond[17411]: pam_access(crond:account): string_match: tok=wheel, item=root crond[17411]: pam_access(crond:account): user_match: tok=shutdown, item=root crond[17411]: pam_access(crond:account): string_match: tok=shutdown, item=root crond[17411]: pam_access(crond:account): user_match: tok=sync, item=root crond[17411]: pam_access(crond:account): string_match: tok=sync, item=root crond[17411]: pam_access(crond:account): user_match=1, "root" crond[17411]: pam_access(crond:account): list_match: list=LOCAL root, item=root crond[17411]: pam_access(crond:account): from_match: tok=LOCAL, item=cron crond[17411]: pam_access(crond:account): string_match: tok=LOCAL, item=cron crond[17411]: pam_access(crond:account): from_match=1, "cron" crond[17411]: pam_access(crond:account): access denied for user根'来自'cron'