版本说明 › 一般注意事项 › UNAB 注意事项

UNAB 注意事项

本节介绍了使用 UNAB 时应注意的事项。

针对用户支持的最大 Active Directory 组

UNAB 针对用户不支持多于 128 的 Active Directory 组。 如果用户是多于 128 的 Active Directory 组的成员，则拒绝该用户登录。

用户名长度限制

在 AIX 上有效

默认情况下，用户名长度限制为八 (8) 个字符。 如果指定了显式 Active Directory 用户名作为 user@domain，那么完整字符串长度计算在最大限制内。

在 AIX 5.3 上，您可以使用以下命令将默认限制更改为最多 255 个字符：

chdev -l sys0 -a max_logname=N

N

指定最大的用户名长度。

迁移后禁用本地用户帐户

将用户帐户完全迁移到 Active Directory 后，您可以通过在 etc/passwd 文件中帐户条目的开头添加星号 (*) 来禁用本地 UNIX 帐户。

不要将 unab_refresh_interval 标记值设置为短时间间隔

为避免 UNAB 性能问题，请不要将 unab_refresh_interval 标记值设置为短时间间隔。

不要将 Kerberos dns_lookup_realm 设置为 true

适用于 SSO 模式

建议除非有必要，否则不要将 Kerberos dns_lookup_realm 值设置为 true。 如果设置为 true，Kerberos 会启动不必要的 DNS 搜索，这样会大幅减慢 UNAB 登录过程。

UNAB 用户无法根据指定的密码策略更改帐户密码

如果 UNAB 用户无法更改其帐户密码，请确定您使用的域控制器安全策略未禁止用户更改其帐户密码。

sepass 与 UNAB 端点集成

sepass 实用程序与 UNAB 集成在一起。 通过此集成，用户可以在安装了 CA Access Control 和 UNAB 的端点上更改其 Active Directory 密码。

将 sepass 与 UNAB 集成：

• 确定您将 seos.ini 文件中的“change_pam”标志值设置为 yes 。配置此标志以指示 sepass 使用 PAM 界面更改密码。
• 确定您将 seos.ini 文件中的“auth_login”标志值设置为 pam 。配置此标志以指示 sepass 使用 PAM 界面验证现有密码。

注意：有关 seos.ini 初始化文件标志的详细信息，请参阅《参考指南》。

使用 Active Directory 帐户登录到 UNAB

如果您要使用本地主机上之前不存在的 Active Directory 帐户登录到 UNAB，请执行以下步骤：

1. 使用以下命令向 Active Directory 注册 UNAB 主机：

   uxconsole -register
   

2. 使用以下命令激活 UNAB：

   uxconsole -activate
   

3. 创建 UNAB 登录授权（登录策略）或本地登录策略（users.allow、users.deny、groups.allow、groups.deny），以使 Active Directory 用户能够登录。

安装 UNAB 后，无法使用管理员帐户登录到 CA Access Control for UNIX

在端点上安装 UNAB 之后，无法使用 Active Directory 管理员用户帐户登录到适用于 UNIX 的 CA Access Control 端点。 要解决此问题，您可以为此帐户创建 userPrincipleName。

CA Access Control 安装和卸载会重新启动 UNAB

在运行 UNAB 的端点上安装或卸载 CA Access Control 时，UNAB 代理 uxauthd 会停止并启动。