UNIX 端点注意事项

本节介绍了在 UNIX 端点上使用 CA Access Control 时应注意的事项。

由 EXECLOGIN 标志代替 MultiLoginPgm

我们建议您使用 LOGINAPPL EXECLOGIN 标志，而不是 MultiLoginPgm 标记，来确定特殊登录应用程序的完整路径。

EXECLOGIN 标志会延迟 LOGIN 操作，直到登录应用程序的第一个“exec”事件出现。

CA Access Control 功能的 PAM 配置

如果在操作系统的 PAM 配置文件中，“auth requisite”行出现在 CA Access Control“auth optional pam_module”行的前面，则依赖于识别用户登录尝试的 CA Access Control PAM 功能（例如：segrasce、serevu 和日志审核记录）将无法工作。

如果希望 PAM 写入用户登录尝试，PAM 配置文件应包含“auth required pam_module”行，而非“auth requisite pam_module”。如果您指定了所需的控制标记，且模块失败，那么它会继续到下一模块。如果您使用控制标志“requisite”并且模块失败，它将立即退出，不会到达 CA Access Control 行，所以不会运行 pam_module。

注意：pam_module 是平台上 PAM 模块文件的名称。例如：在 Linux 上，它是 pam_unix2.so。

telnet 和 rsh 需要进行特殊 PAM 配置

如果您的 PAM 配置文件出现以下情况，则无法使用 telnet 或 rsh 登录到计算机：

缺少以下行：

login	account	optional	/usr/lib/security/libpam_unix.1

login	account	optional	/usr/lib/security/pam_seos.sl

要解决这一问题，您可以注释掉 CA Access Control 行（如果您希望 PAM 使用“OTHER account...”行）；或者也可以取消注释操作系统行。

AIX 上的 CA Access Control PAM 模块

在 AIX 上有效

如果您在 seos.ini 文件的 seos 部分中设置 auth_login=pam，则 CA Access Control 会使用 PAM 对用户进行身份验证。 CA Access Control 在身份验证期间使用 PAM API 库，但 AIX 不采用共享库格式提供 PAM 库（CA Access Control 可以轻松链接到此格式的 PAM 库）。 CA Access Control 尝试使用 PAM API 时会失败，并出现错误消息“找不到 /usr/lib/libpam.o”。要避免此错误，您必须配置 AIX PAM 模块。

在 AIX 上配置 AIX PAM 模块

找到 AIX 提供的 libpam.a 存档：
```
cd /usr/lib
```
此存档包含 AIX PAM 共享库 (shr.o)。
从 libpam.a 中将 shr.o 提取至 /usr/lib：
```
ar -xv libpam.a
```
将 shr.o 重命名为 libpam.o：
```
mv shr.o libpam.o
```
在 seos.ini 文件的 passwd 部分中，验证 change_pam=yes。
此配置设置指示 sepass 使用 PAM 界面更改密码。

SNMP 配置

将 selogrd 设为传送审核记录给 SNMP 侦听器时，您可以使用和默认名称 (“public”) 不同的 SNMP 团体名称。为实现这一功能，请在 selogrd.cfg 配置文件中使用以下格式：

snmp gateway@community

gateway: 定义 SNMP 网关主机名。
community: 定义与目标 SNMP 环境相匹配的 SNMP 公用名。

CA Access Control 生成登录会话 ID

CA Access Control 在启动时生成将添加到审核日志记录的登录会话 ID。这意味着，每次 CA Access Control 重新启动时，登录的用户会在同一终端会话中获得不同的会话 ID。会话 ID 仅在同一 CA Access Control 会话中保持不变。

企业用户与 _undefined 用户不对应

如果使用企业用户（osuser_enabled 设置为 1），则 CA Access Control 不会将任何用户视为未定义。

针对 _undefined 用户的规则在这种情况下不适用。

所有用户掩码 (*) 均适用于未定义的用户

如果不使用企业用户（osuser_enabled 设置为 0），则未在 CA Access Control 数据库中定义的用户将包括在适用于所有用户的规则中（使用掩码 *）。

如果要从适用于所有用户的规则中排除未定义的用户，请为未定义的用户创建一个更具体的规则，用于定义未在数据库中定义的用户所需的访问权限。

默认情况下，审核日志备份文件受到保护

默认情况下，如果您将设置配置为保留带有时间戳的备份，CA Access Control 将保护审核日志备份文件。这种默认保护与按大小触发的审核备份文件所获得的保护相同。要删除这些文件，需要在数据库中设置许可规则。

修复 libcryptscr.so.125.0 之后更改加密密钥

对称加密密钥已嵌入 libcryptscr.so.125.0 库。如果修复此库，则修补程序可能会还原默认的 CA Access Control 加密密钥。要避免通讯问题，必须始终在将修补程序应用于 libcryptscr.so.125.0 之后立即更改加密密钥。

要更改密钥，请导航到 /opt/CA/AccessControl/lib/libcryptscr.so.125.0 并运行以下 sechkey，其中 previous_key 是您在应用修补程序之前使用的加密密钥：

sechkey –d previous_key

sechkey 会将默认加密密钥替换为以前的密钥。

Linux 内核重新编译

在 Linux 系统上，如果重新编译内核，则必须将 system.map 文件复制到 /boot 目录中，以加载 CA Access Control 后台进程。

编译 API 示例

您应当使用 gmake (GNU make) 而非 make 来编译 API 示例。

不在 seosd Exit 中使用管理 API 函数

为避免死锁，请不要在 seosd exit 中使用任何管理 API 函数。

就该主题发送电子邮件至 CA Technologies