|
|
|
このセクションは、UNAB の既知の問題について説明します。
Active Directory サーバがフォレストのメンバである場合、UNAB 登録コマンドによって正しくない Active Directory サーバ名を返します。
この問題を回避するには、uxconsole -register コマンドを -t <サイト> 引数を使用して実行し、UNAB が Active Directory との通信に使用する DC を含む Active Directory サイトを指定します。
Windows Server 2003 SP1、Windows Server 2003 64 ビットで該当
LDAP_MATCHING_RULE_IN_CHAIN を使用した拡張検索で LDAP が Active Directory のクエリ結果を返すのに失敗します。
この問題の回避策として、MIcrosoft Windows 2003 Server 用の最新のサービス パックをインストールするか、wingrp_update_login トークンを「no」に設定して、ログイン中の UNAB グループの更新を無効にします。
注: 詳細については、Microsoft ナレッジベース記事 914828 を参照してください。
CA Access Control UNIX 属性プラグインを使用して、空の GECOS 属性を Active Directory ユーザに設定できません。
UNAB のインストールし後、および Active Directory への登録前に、uxpreinstall ユーティリティはホスト名解決の検証に失敗します。
この問題を回避するには、-d 引数を使用して、Active Directory ドメイン名を指定します。 以下に例を示します。
./uxpreinstall -d domain_name
AIX に該当
/etc/netsvc.conf ファイルに DNS データ ソースが含まれていない場合、uxpreinstall ユーティリティはホスト名解決エラーを報告します。
-manage -group <グループ名> コマンドで、グループ名の大文字と小文字が区別されます。
ユーザ 移行処理時に、GECOS パラメータが割り当てられていない UNIX ユーザを対応する Active Directory ユーザ アカウントと比較すると、不一致を報告する不正な競合メッセージが表示されます。
Linux、HP-UX に該当
UNAB 監査レコードに、telnet および rlogin のログイン プログラムが表示されません。 LInux では、UNAB 監査レコードに telnet または rlogin の代わりに "remote" と表示されます。 HP-UX では、UNAB 監査レコードに telnet または rlogin の代わりに "login" と表示されます。
AIX 5.3 に該当
/etc/resolv.conf ファイルに Active Directory サーバ名が含まれていない場合、Active Directory にホストを登録しようとするとコア ダンプは発生します。
Active Directory に UNAB ホストを登録し、その後登録を解除する場合、ホストの登録を解除する前に、ドメイン コントローラ レプリケーションで必要となる時間を待機することをお勧めします。
注: UNAB ホストを登録解除する場合、配布されなかったポリシーは削除されます。
SSH に対して有効
Active Directory でユーザを作成し、新規ユーザがすぐに UNAB エンドポイントへのログインを試行する場合、最初のログインは失敗しますが、それ以降のログインは問題なく行われます。 最初のログインが失敗するのは、ユーザがエンドポイントに認識されていないためです。 ただし、失敗したログイン プロセス中に、uxauthd はローカル NSS ストレージをユーザ情報で更新します。 それ以降のログインは成功します。これは、ユーザがエンドポイントに認識されるようになったためです。
デフォルトでは、uxauthd は NSS ストレージ内のユーザ情報を 1 時間おきに更新します。 uxauthd が NSS ストレージを更新した後に新規ユーザがエンドポイントへのログインを試行すると、ログインは成功します。
UNAB がインストールされているホストに rlogin を使用してログインすると、ログインの試行が監査に 2 回表示されます。
SSO ログインでは、ログイン サービスは PAM をバイパスします。 ログイン ポリシーは適用されす、監査イベントも生成されません。
Linux、AIX、HP-UX に有効
UNIX PAM フローに制限があるため、UNAB ホストへのログインが成功した後、アカウント認証に失敗したことを示すエラー メッセージが syslog ファイルに生成されます。
Solaris、Linux、および HP-UX で有効
「入力されたパスワードが OS のパスワードと一致しません。」というエラー メッセージは、ログイン権限のない Active Directory ユーザに対して checklogin コマンドを発行した場合に表示されます。 このメッセージは、実際のログイン拒否メッセージの代わりに表示されます。
AIX 5.3 に該当
マップされたユーザが sepass を使用して、アカウント パスワードを変更しようとすると、パスワード不一致のエラー メッセージが表示されます。 エラー メッセージが表示されても、アカウント パスワードは Active Directory 上で変更されています。
Sun Solaris のパスワードに関する制限事項により、Active Directory アカウントで UNIX ホストにログインするユーザは、Solaris のパスワード ツールを使用してアカウントを変更できません。 初回ログイン時にユーザがアカウント パスワードを変更する必要がある場合、ユーザは Solaris 以外のシステムからログインする必要があります。
UNAB が UNIX ホスト上で実行されている場合、以下のコマンドを使用してローカル アカウントのパスワードを変更します。
passwd -r files username
CA Access Control が UNIX ホスト上で実行されている場合、sepass ユーティリティを使用してローカル アカウントのパスワードを変更します。
su を使用して Active Directory ユーザを代理実行する場合、代理実行の試行は監査されません。
sftp プログラムを使用し終えたログイン セッションの監査レコードは、sftp プログラムではなくプログラム フィールド内の sshd デーモンを表示する場合があります。
Windows イベント ビューアに空白フィールドのある UNAB イベントが表示されます。
Solaris に該当
Kerberized FTP およびテルネット プログラムは PAM スタックをバイパスします。そのため UNAB は、エンタープライズ ユーザによる FTP およびテルネット SSO ログインを監査しません。
Linux SuSE に該当
Linux SuSE エンドポイント上に UNAB を完全統合モードで実装し、ドメイン ユーザが rlogin を使用してエンドポイントにログインする場合、UNAB は同じログイン イベントに対して 2 つの監査レコードを作成します。
以前に SSO を有効にして登録していた UNAB ホストを登録解除すると、そのコンピュータ オブジェクトは Active Directory から削除されますが、対応するレコードは keytab ファイルから削除されません。 その UNAB ホストを再び登録しようとしても、Kerberos チケットは作成されません。
この問題を回避するため、UNAB ホストを登録解除しないようにするか、UNAB ホストにのみ使用される場合は、keytab ファイルを削除することを推奨します。
HP-UX に該当
HP-UX の制限事項により、HP-UX エンドポイント上では、パスワードに @ 記号を使用しないでください。
HP-UX に該当
HP-UX では、完全修飾ドメイン名(例: user@domain)ではログインできません。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |