|
|
|
이 단원은 UNAB의 알려진 문제점에 대해 설명합니다.
Active Directory 서버가 포리스트의 구성원인 경우 UNAB 등록 명령이 잘못된 Active Directory 서버 이름을 반환합니다.
이 문제를 해결하려면 -t 사이트 인수를 사용하여 uxconsole -register 명령을 실행하고 UNAB가 Active Directory와 통신하기 위해 사용하는 DC를 포함하도록 Active Directory 사이트를 지정하십시오.
Windows Server 2003 SP1, Windows Server 2003 64 비트에 해당
LDAP 쿼리는 LDAP_MATCHING_RULE_IN_CHAIN을 사용한 확장 검색에 대한 쿼리 결과를 반환하지 못합니다.
이 문제를 해결하려면 MIcrosoft Windows 2003 Server용 최신 서비스 팩을 설치하거나 wingrp_update_login 토큰을 'no'로 설정하여 UNAB 그룹 업데이트를 비활성화하십시오.
참고: 자세한 내용은 Microsoft 기술 자료 문서 914828을 참조하십시오.
CA Access Control UNIX 특성 플러그 인을 사용하여 Active Directory 사용자에 대한 빈 GECOS 특성을 설정할 수 없습니다.
UNAB를 설치한 이후 그리고 Active Directory에 등록하기 전에 uxpreinstall 유틸리티가 호스트 이름 확인을 검사할 수 없습니다.
이 문제를 해결하려면 -d 인수를 사용하여 Active Directory 도메인 이름을 지정하십시오. 예:
./uxpreinstall -d domain_name
AIX에 해당
/etc/netsvc.conf 파일이 DNS 데이터 원본을 포함하지 않는 경우 uxpreinstall 유틸리티가 호스트 이름 확인 오류를 보고합니다.
-manage -group <groupname> 명령의 그룹 이름은 대소문자를 구분합니다.
사용자 마이그레이션 프로세스 중 GECOS 매개 변수가 할당되지 않은 UNIX 사용자를 해당 Active Directory 사용자 계정과 비교할 때 불일치를 보고하는 잘못된 충돌 메시지가 나타납니다.
Linux, HP-UX에 해당
UNAB 감사 레코드는 telnet 및 rlogin 로그인 프로그램을 표시하지 않습니다. LInux에서 UNAB 감사 레코드는 telnet 또는 rlogin 대신 "remote"를 표시합니다. HP-UX에서 UNAB 감사 레코드는 telnet 또는 rlogin 대신 "login"을 표시합니다.
AIX 5.3에 해당
/etc/resolv.conf 파일에 Active Directory 서버 이름이 포함되지 않은 경우 Active Directory에 호스트를 등록하려고 시도하면 코어 덤프가 발생합니다.
Active Directory에서 UNAB 호스트를 등록한 후 등록 취소하는 경우 호스트를 등록한 후 호스트를 등록 취소하기 전에 도메인 컨트롤러 복제에 필요한 시간 동안 기다리는 것이 좋습니다.
참고: UNAB 호스트를 등록 취소하면 배포되지 않은 정책이 삭제됩니다.
SSH에 해당
Active Directory에 사용자를 만들고 이 새 사용자가 즉시 UNAB 끝점에 로그인을 시도하면 첫 로그인 시도가 실패하지만 이후 로그인 시도는 성공합니다. 첫 번째 로그인 시도가 실패하는 이유는 이 사용자가 끝점에 알려지지 않았기 때문입니다. 하지만 실패한 로그인 프로세스 중에 uxauthd는 해당 사용자 정보로 로컬 NSS 저장소를 업데이트합니다. 이후 로그인 시도는 해당 사용자가 이제 끝점에 알려졌으므로 성공합니다.
기본적으로 uxauthd는 NSS 저장소에서 사용자 정보를 매시간 업데이트합니다. uxauthd가 NSS 저장소를 업데이트한 이후에 새 사용자가 끝점에 로그인을 시도하면 로그인이 성공합니다.
rlogin을 사용하여 UNAB가 설치된 호스트에 로그인하면 이 로그인 시도가 감사에 두 번 표시됩니다.
여러 로그인 서비스가 SSO 로그인에서 PAM을 건너뜁니다. 로그인 정책이 적용되지 않고 감사 이벤트가 생성되지 않습니다.
Linux, AIX, HP-UX에 해당
UNIX PAM 흐름의 제한으로 인해 UNAB 호스트에 성공적으로 로그인했을 때 syslog 파일에서 계정 인증이 실패했음을 알리는 오류 메시지가 표시됩니다.
Solaris, Linux, HP-UX에 해당
로그인이 허용되지 않는 Active Directory 사용자에 대해 checklogin 명령을 실행하면 "지정한 암호가 OS 암호화 일치하지 않습니다" 오류 메시지가 표시됩니다. 이 메시지는 실제 로그인 거부 메시지 대신 표시됩니다.
AIX 5.3에 해당
암호 불일치 오류는 매핑된 사용자가 sepass를 사용하여 계정 암호를 변경하려고 시도하는 경우 표시됩니다. 이 오류 메시지에도 불구하고 Active Directory에서 계정 암호는 변경됩니다.
Sun Solaris 암호 제한 사항으로 인해 Active Directory 계정을 사용하여 UNIX 호스트에 로그인하는 사용자는 Solaris passwd 도구를 사용하여 자신의 계정 암호를 변경할 수 없습니다. 처음 로그인할 때 사용자가 계정 암호를 변경해야 하는 경우 Solaris가 아닌 다른 시스템에서 로그인해야 합니다.
UNAB가 UNIX 호스트에서 실행 중인 경우 다음 명령을 사용하여 로컬 계정 암호를 변경하십시오.
passwd -r files username
CA Access Control이 UNIX 호스트에서 실행 중인 경우 sepass 유틸리티를 사용하여 로컬 계정 암호를 변경하십시오.
su를 사용하여 Active Directory 사용자로 전환하는 경우 이 시도가 감사되지 않습니다.
sftp 프로그램을 사용하여 완료된 로그인 세션의 감사 레코드에서 프로그램 필드에 sftp 프로그램이 아닌 sshd 데몬이 표시될 수 있습니다.
Windows 이벤트 뷰어에서 UNAB 이벤트가 빈 필드로 표시됩니다.
Solaris에 해당
Kerberos를 사용하는 FTP 및 텔넷 프로그램은 PAM 스택을 우회하므로 UNAB가 엔터프라이즈 사용자의 FTP 및 텔넷 SSO 로그인을 감사하지 않습니다.
Linux SuSE에 해당
Linux SuSE 끝점에서 완전 통합 모드로 UNAB를 구현하고 도메인 사용자가 rlogin을 사용하여 끝점에 로그인하는 경우 UNAB는 동일한 로그인 이벤트에 대해 두 개의 감사 레코드를 만듭니다.
이전에 SSO를 활성화하여 등록한 UNAB 호스트의 등록을 취소하면 컴퓨터 개체가 Active Directory에서 제거되지만 해당 레코드가 keytab 파일에서는 삭제되지 않습니다. UNAB 호스트를 다시 등록하려고 시도하면 Kerberos 티켓이 만들어지지 않습니다.
이 문제를 해결하려면 UNAB 호스트의 등록을 취소하지 말거나, 또는 UNAB 호스트에서만 사용되는 경우 keytab 파일을 제거할 것을 권장합니다.
HP-UX에 해당
HP-UX의 제한으로 인해 HP-UX 끝점에서 암호에 @ 기호를 사용할 수 없습니다.
HP-UX에 해당
정규화된 도메인 이름(예: user@domain)을 사용하여 HP-UX 호스트에 로그인할 수 없습니다.
| Copyright © 2011 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |