|
|
|
このセクションでは、UNAB を使用する際に考慮すべき事項について説明します。
UNAB では、ユーザの Active Directory グループが 128 を超えることはできません。 ユーザが 129 以上の Active Directory グループのメンバである場合、そのユーザのログインは拒否されます。
AIX に該当
デフォルトでは、ユーザ名は 8 文字までに制限されています。 Active Directory ユーザ名を user@domain として明示的に指定した場合、全体の文字列の長さが最大文字数に対して照合されます。
AIX 5.3 では、以下のコマンドを使用して、デフォルトの最大文字数を 255 文字までに変更できます。
chdev -l sys0 -a max_logname=N
ユーザ名の最大長を指定します。
ユーザ アカウントを Active Directory に完全に移行した後、etc/passwd ファイルで、アカウント エントリの先頭にアスタリスク(*)を追加することによって、ローカルの UNIX アカウントを無効にすることができます。
UNAB でパフォーマンス上の問題が発生するのを避けるため、unab_refresh_interval トークン値を短い間隔に設定しないようにしてください。
SSO モードに該当
必須でない限り、Kerberos dns_lookup_realm の値を true に設定しないことをお勧めします。 True に設定した場合、Kerberos は UNAB ログイン プロセスの実質的な遅延の原因となる、不要な DNS 検索を開始します。
UNAB ユーザがアカウント パスワードを変更できない場合、使用するドメイン コントローラのセキュリティ ポリシーで、それらのアカウント パスワードの変更が禁止されていないことを確認します。
sepass ユーティリティは UNAB と統合されます。 この統合によって、CA Access Control および UNAB の両方がインストールされているエンドポイント上で、ユーザが自分の Active Directory パスワードを変更することが可能になります。
sepass と UNAB を統合する方法
注: seos.ini 初期化ファイルのトークンの詳細については、「リファレンス ガイド」を参照してください。
以前はローカル ホストに存在しなかった Active Directoru アカウントを使用して UNAB にログインする場合、以下の手順に従います。
uxconsole -register
uxconsole -activate
UNAB がエンドポイントにインストールされている場合、Active Directory の「管理者」アカウントを使用して、UNIX 用 CA Access Control エンドポイントにアクセスできません。 この問題を回避するには、このアカウント用に userPrincipleName を作成します。
UNAB が実行されているエンドポイントから CA Access Control をインストールまたはアンインストールすると、UNAB エージェント(uxauthd)が停止され、開始されます。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |