版本说明 › 已知问题 › 一般已知问题 › UNAB 已知问题

UNAB 已知问题

本节介绍了 UNAB 的已知问题。

uxconsole -register 返回不正确的 Active Directory 站点名

如果 Active Directory 服务器是林的成员，UNAB 注册命令则返回不正确的 Active Directory 服务器名称。

要解决此问题，请使用 -t 站点参数运行 uxconsole -register 命令，并指定包含 UNAB 用于与 Active Directory 通讯的 DC 的 Active Directory 站点。

Microsoft Windows Server 2003 的热修复改进性能

在 Windows Server 2003 SP1、Windows Server 2003 64 位上有效

使用 LDAP_MATCHING_RULE_IN_CHAIN，LDAP 查询无法返回用于扩展搜索的 Active Directory 查询结果。

要解决该问题，为 MIcrosoft Windows 2003 Server 安装最新的 Service Pack，或通过将 wingrp_update_login 标记设置为 no 在登录期间禁用 UNAB 组更新。

注意：有关详细信息，请参阅 Microsoft 知识库文章 914828。

您无法使用 CA Access Control UNIX 属性插件设置空 GECOS 属性

您无法使用 CA Access Control UNIX 属性插件将空 GECOS 属性设置为 Active Directory 用户。

Uxpreinstall 实用程序无法验证主机名解析

在安装 UNAB 之后、注册 Active Directory 之前，uxpreinstall 实用程序无法验证主机名解析。

要解决此问题，请使用 -d 参数指定 Active Directory 域名。 例如：

./uxpreinstall -d domain_name

Uxpreinstall 实用程序报告主机名解析错误

在 AIX 上有效

当 /etc/netsvc.conf 文件不包含 DNS 数据源时，uxpreinstall 实用程序会报告主机名解析错误。

Uxconsole -manage -group 区分大小写

-manage -group <groupname> 命令中的组名称区分大小写。

用户迁移期间出现不正确的冲突消息

在用户迁移过程中，出现不正确的冲突消息，报告未分配 GECOS 参数的 UNIX 用户与对应的 Active Directory 用户帐户不相符。

审核记录中不显示 telnet 和 rlogin 程序

在 Linux、HP-UX 上有效

UNAB 审核记录不显示 telnet 和 rlogin 登录程序。 在 Linux 中，UNAB 审核记录显示“remote”而不是 telnet 或 rlogin。 在 HP-UX 上，UNAB 审核记录显示“login”而不是 telnet 或 rlogin。

向 Active Directory 注册主机时发生核心转储

在 AIX 5.3 上有效

如果 /etc/resolv.conf 文件中不包含 Active Directory 服务器名称，则尝试向 Active Directory 注册主机会导致核心转储。

uxconsole -register 和 -deregister 命令之间的间隔

如果要在 Active Directory 中注册 UNAB 主机之后又取消注册，建议您在取消注册主机之前等待域控制器复制所需的时间。

注意：如果取消注册 UNAB 主机，将删除未分发的策略。

新的域用户首次尝试登录时可能会失败

适用于 SSH

如果您在 Active Directory 中创建了一个用户后该新用户立即尝试登录到 UNAB 端点，则首次登录尝试将失败，但后续登录尝试会成功。 首次登录尝试失败的原因是用户不为端点所知。 但是，在失败的登录过程中，uxauthd 会将用户信息更新到本地 NSS 存储。 后续登录尝试成功是因为现在端点已经知道该用户。

默认情况下，uxauthd 每小时更新一次 NSS 存储中的用户信息。 如果新用户在 uxauthd 更新 NSS 存储之后再尝试登录到端点，登录将成功。

记录两次登录条目

如果您登录到已使用 rlogin 安装了 UNAB 的主机，登录尝试将在审核中出现两次。

登录服务在 SSO 登录时跳过 PAM

多种登录服务在 SSO 登录时跳过 PAM。 不会应用登录策略，也不会生成审核事件。

成功登录到主机后生成错误消息

适用于 Linux、AIX、HP-UX

UNIX PAM 流限制导致成功登录到 UNAB 主机的行为被记录为错误消息，在 syslog 文件中指出帐户身份验证失败。

发出检查登录命令时出现“提供的密码与操作系统密码不匹配”消息

在 Solaris、Linux、HP-UX 上有效

如果您对没有获得登录授权的 Active Directory 用户发出 checklogin 命令，会显示“提供的密码与操作系统密码不匹配”错误消息。 将显示此消息，而不会显示实际登录拒绝消息。

使用 sepass 更改密码时出现密码不匹配消息

在 AIX 5.3 上有效

当映射用户尝试使用 sepass 更改帐户密码时，会出现密码不匹配错误消息。 无论出现什么错误消息，都将在 Active Directory 上更改帐户密码。

Active Directory 用户无法在 Solaris 上更改密码

由于 Sun Solaris 密码限制，使用 Active Directory 帐户登录到 UNIX 主机的用户无法使用 Solaris passwd 工具更改其帐户密码。 如果用户必须在首次登录时更改帐户密码，用户必须从 Solaris 之外的系统进行登录。

如果 UNAB 正在 UNIX 主机上运行，请使用以下命令来更改本地帐户密码：

passwd -r files username

如果 CA Access Control 正在 UNIX 主机上运行，请使用 sepass 实用程序来更改本地帐户密码。

模拟 Active Directory 用户不会创建审核记录

如果您使用 su 模拟 Active Directory 用户，则不会审核模拟尝试。

SFTP 会话的审核记录中显示 sshd 程序名称

使用 sftp 程序所做的登录会话审核记录可能会在程序字段中显示 sshd 后台进程而不显示 sftp 程序。

事件查看器中的 UNAB 条目包含空白字段

Windows 事件查看器中显示的 UNAB 事件具有空白字段。

不审核企业用户的 FTP SSO 登录

适用于 Solaris

Kerberized FTP 和 telnet 程序会跳过 PAM 堆栈，因此 UNAB 不会审核企业用户的 FTP 和 telnet SSO 登录。

域用户在 Linux SuSE 端点上使用 rlogin 时生成重复的审核记录

在 Linux SuSE 上有效

如果您在 Linux SuSE 端点上以完全集成模式实施 UNAB，并且域用户使用 rlogin 登录到端点，则 UNAB 将为同一登录事件创建两条审核记录。

取消注册启用了 SSO 的 UNAB 不会删除 keytab 文件中的记录

当您取消注册先前在启用了 SSO 的情况下注册的 UNAB 主机时，会从 Active Directory 中删除该计算机对象，但不会从 keytab 文件中删除相应的记录。 如果您再次试图注册 UNAB 主机，将不会创建 Kerberos 票单。

要解决此问题，建议您不要取消注册 UNAB 主机，或者删除 keytab 文件（如果它仅由 UNAB 主机使用）。

HP-UX 不支持在密码中使用 @ 符号

在 HP-UX 上有效

由于 HP-UX 限制，请不要在 HP-UX 端点上的密码中使用 @ 符号。

HP-UX 不支持完全限定域名登录

在 HP-UX 上有效

您无法使用完全限定域名（例如：user@domain）登录到 HP-UX 主机。