애플리케이션을 루트로 실행하지 않고 Linux PAM을 통해 비밀번호 변경

제가 작성 중인 애플리케이션에는 비밀번호 변경 기능이 있습니다. 하지만 루트가 아니어도 계정 관리 부분을 실행할 수 있는지 알고 싶습니다.

이제 관리하려는 사용자로 실행하면 비밀번호를 변경할 수 없는 문제가 발생했습니다. 주어진 비밀번호로 먼저 인증하여 비밀번호가 올바른지 확인합니다. (인증 모듈의 다른 부분을 별도로 호출합니다.) chauthtok사용자에 대해 변경을 호출할 때만 pamtest대화 함수의 디버그 출력이 발생합니다.

START PAM CHANGE PASSWORD
PAM_CONV start [('Changing password for pamtest.', 4)]
PAM_CONV iter: Changing password for pamtest. 4
PAM_CONV end: [('', 0)]
PAM_CONV start [('(current) UNIX password: ', 1)]
PAM_CONV iter: (current) UNIX password:  1
PAM_CONV end: [(u'5ACN5pbmDFBVMHp', 0)]
PAM_CONV start [('Enter new UNIX password: ', 1)]
PAM_CONV iter: Enter new UNIX password:  1
PAM_CONV end: [(u'pdJb7ffsQTHWw4V', 0)]
PAM_CONV start [('Retype new UNIX password: ', 1)]
PAM_CONV iter: Retype new UNIX password:  1
PAM_CONV end: [(u'pdJb7ffsQTHWw4V', 0)]
Pass change failed for pamtest! '' (('Authentication token manipulation error', 20))
response:False

디버그 플래그는 pam_unix.sorsyslog 파일 auth.log에서 이 줄을 두 번 제공합니다 .

<date> <time>   <system>    python  pam_unix(passwd:chauthtok): username [pamtest] obtained

이로 인해 변경된 비밀번호를 섀도우 파일에 쓰는 데 문제가 있다고 생각됩니다. 루트가 쓰기 권한을 가진 유일한 사람이기 때문일 수 있습니다. 루트로 실행하면 코드가 작동합니다.

이것이 올바른 가정인가요? 그렇다면 일반적으로 모듈을 루트로 실행하여 수행됩니까? 아니면 섀도우 파일에만 쓸 수 있는 권한만 가진 특정 사용자를 생성하는 등의 다른 옵션을 사용할 수 있습니까?