版本说明 › 已知问题 › 一般已知问题 › UNIX 端点已知问题

UNIX 端点已知问题

本节介绍了 CA Access Control for UNIX 的已知问题。

CAWIN 安装需要 Ncurses

在 Linux 64 位服务器上有效

在 Linux 64 位服务器上安装 CAWIN 之前，先安装 Ncurses 32 位。

为 CA Access Control 管理员定义完全限定名称

在 Linux 上有效

在 Linux 上创建 AC for PUPM 端点类型时，请确认 CA Access Control 管理员用户名定义为完全限定名称。 例如，computer-name\user-name 或 entmcomputer\root。

在最小 Linux x64 安装上 CAWIN 安装失败

在 Linux x64 上有效

安装在最小 Linux x64 安装时，CAWIN 安装失败。 因为缺少 32 位库，所以安装失败。

注意：CAWIN 是 CA Access Control 安装的一部分。 CAWIN 相关错误消息记录在 CA Access Control 安装日志文件中。

要解决此问题，请安装 32 位 ncurses RPM 程序包和 libncurses.co 文件。 请验证程序包版本不在版本 5.0 以下。 例如：

ncurses-devel-5.7-3.20090208.el6.i686.rpm

在 serevu 后台进程运行时失败的登录事件不审核

在 VMware vCenter 4.0 u2 上有效

在 CA Access Control 安装在 VMware vCenter 版本 4.0 u2 上时，serevu 后台进程正在运行时，以下情况就会发生：

• 失败登录事件的登录记录不在审核文件中显示
• pam_seos_failed_login.log 文件大小是 0

要解决此问题，请执行以下操作：

1. 停止所有 CA Access Control 后台进程。
2. 浏览至以下目录：

   /etc/pam.d/
   

3. 编辑 system-auth 文件，删除所有到 pam_seos.so 的引用。 例如：

   account required pam_per_user.so /etc/pam.d/login.map
   auth required pam_per_user.so /etc/pam.d/login.mapp
   password required pam_per_user.so /etc/pam.d/login.map
   session required pam_per_user.so /etc/pam.d/login.map
   

4. 编辑 system-auth-generic 文件，添加到 pam_seos.so 的引用。 例如：

   password sufficient pam_seos.so
   auth       optional     pam_unix.so
   account   optional     pam_seos.so
   session   optional     pam_seos.so
   

5. 编辑 system-auth-local 文件，添加到 pam_seos.so 的引用。 例如：

   password sufficient pam_seos.so
   auth       optional     pam_unix.so
   account   optional     pam_seos.so
   session   optional     pam_seos.so
   

6. 保存并关闭文件。
7. 启动 CA Access Control 后台进程。

SSH 登录不由 CA Access Control 或不由审核日志审核（启用 SElinux 时）

在 RedHat Linux Advanced Server 6 上有效

在 RedHat Linux Advanced Server 6 上，SSH 用户登录不由 CA Access Control 审核，因为 SElinux 默认策略不允许 SSHD 访问 /proc 文件系统。

要解决该问题，请运行 /opt/CA/AccessControl /lbin/sshd_policy.sh 脚本加载 SElinux 策略模块，以便允许访问 /proc。

无法在 Linux 上配置 JBoss JDBC 密码使用方

在 Linux 上有效

目前，您无法在 LInux 上配置 JBoss JDBC 密码使用方。

登录到 CA Access Control 需要启用 PAM_Login 标志

在 AIX 上有效

如果未启用 PAM_login 标志，CA Access Control 将无法正确检测到 Active Directory 用户帐户。

要解决此问题，请在设置的程序 (LOGINAPPL) 的日志中启用 PAM_login 标志。 通过在 seos.ini 中的 [pam_seos] 部分下将 PamPassUserInfo 标记设置为 1，确定 seosd 后台进程接受来自 PAM 模块的登录请求。

如果在 /etc/shells 中没有定义默认 Shell，将不会记录用户会话

适用于键盘记录器

当用户使用 /etc/shells 中未定义的 shell 登录时，CA Access Control 不会记录用户会话。

在 PAM 处于活动状态时，不会为 FTP 和 SSH 宽限登录调用 segrace

激活 PAM 后，不会为 FTP 服务的宽限登录和 SSH 服务自动调用 segrace。

要为 FTP 解决此问题，请在 FTP 服务的 LOGINAPPL 记录中将 LOGINFLAGS 属性的值更改为 nograce。

要为 SSH 解决此问题，请不要从 PAM 调用 segrace， 而是从用户或操作系统启动脚本调用 segrace。

宽限期满后 CA Access Control 不会重置密码

在 HPUX 和 AIX 上有效

如果 CA Access Control 端点上安装了 UNAB，则 CA Access Control PAM 在用户密码宽限期满后不会调用 sepass 实用程序来重置帐户密码。

此问题会影响使用 loginflags(pamlogin) 的登录应用程序，例如：SSH 登录、rlogin、FTP 以及 Telnet。 在 HPUX 和 AIX 上，CA Access Control 不会将 SSH 登录识别为登录操作。 要解决此问题，请对 SSH 登录应用程序使用 loginflags(none)。

Solaris 网络事件绕过不适用于某些进程

CA Access Control 在 Solaris 平台上不会为先于 CA Access Control 启动的进程绕过网络事件（绕过类型为 PBN 的 SPECIALPGM 记录）。

Stat 截获调用在 AIX 系统上不受支持

对于 STAT_intercept 标记设置为“1”的 stat 系统调用的文件访问检查在 AIX 系统上不受支持。