リリース ノート › 既知の問題 › 一般的な既知の問題 › UNIX エンドポイントの既知の問題

UNIX エンドポイントの既知の問題

このセクションでは、CA Access Control for UNIX の既知の問題について説明します。

CAWIN インストールに Ncurses が必要です

Linux 64 ビット サーバに該当

CAWIN を Linux 64 ビット サーバ上にインストールする前に、Ncurses 32 ビットをインストールします。

CA Access Control 管理者のために完全修飾名を定義します

Linux に該当

Linux 上で AC for PUPM エンドポイント タイプを作成する場合、CA Access Control 管理者のユーザ名が完全修飾名として定義されていることを確認します。 たとえば、「コンピュータ名 ¥ ユーザ名」、または「entmcomputer¥root」のようになります。

CAWIN のインストールが最小の Linux x64 インストールで失敗する

Linux x64 に該当

CAWIN を最小の Linux x64 インストール環境にインストールすると失敗します。 このインストールは、32 ビット ライブラリがないために失敗します。

注： CAWIN は CA Access Control インストールの一部です。 CAWIN 関連のエラー メッセージは CA Access Control インストール ログ ファイルに記録されます。

この問題を回避するには、libncurses.co ファイルと共に 32 ビット ncurses RPM パッケージをインストールします。 パッケージ バージョンがバージョン 5.0 より古くないことを確認します。 以下に例を示します。

ncurses-devel-5.7-3.20090208.el6.i686.rpm

serevu デーモンの実行中に失敗したログイン イベントが監査されない

VMware vCenter 4.0 u2 で該当

CA Access Control の VMware vCenter バージョン 4.0 u2 へのインストール時に serevu デーモンが実行されていると、以下が発生します。

• 失敗したログイン イベントの LOGIN レコードが監査ファイルに表示されまない
• pam_seos_failed_login.log ファイルのサイズが 0

この問題を回避するには、以下の操作を行います。

1. すべての CA Access Control デーモンを停止します。
2. 以下のディレクトリに移動します。

   /etc/pam.d/
   

3. system-auth ファイルを編集して、pam_seos.so への参照をすべて削除します。 例：

   account required pam_per_user.so /etc/pam.d/login.map
   auth required pam_per_user.so /etc/pam.d/login.map
   password required pam_per_user.so /etc/pam.d/login.map
   session required pam_per_user.so /etc/pam.d/login.map
   

4. system-auth-generic ファイルを編集して、pam_seos.so への参照を追加します。 例：

   password  sufficient  pam_seos.so
   auth       optional     pam_seos.so
   account    optional     pam_seos.so
   session    optional     pam_seos.so
   

5. system-auth-local ファイルを編集して、pam_seos.so への参照を追加します。 例：

   password  sufficient  pam_seos.so
   auth       optional     pam_seos.so
   account    optional     pam_seos.so
   session    optional     pam_seos.so
   

6. ファイルを保存して閉じます。
7. CA Access Control デーモンを開始します。

SElinux が有効な場合 CA Access Control または監査ログによって SSH ログインが監査されない

RedHat Linux Advanced Server 6 で該当

RedHat Linux Advanced Server 6 で、 SSH ユーザのログインが CA Access Control によって監査されません。これは、SElinux のデフォルト ポリシーでは SSHD の /proc ファイル システムへのアクセスが許可されないためです。

この問題の回避策として、/opt/CA/AccessControl /lbin/sshd_policy.sh スクリプトを実行して SElinux ポリシー モジュールをロードし、/proc へのアクセスを許可します。

Linux 上で JBoss JDBC パスワード コンシューマを設定できない

Linux に該当

現在、LInux 上で JBoss JDBC パスワード コンシューマを設定できません。

CA Access Control にログインするには PAM_Login フラグが有効になっていることが必要

AIX に該当

PAM_login フラグが有効になっていない場合、CA Access Control は Active Directory ユーザ アカウントを正しく検出できません。

この問題を回避するには、設定したログイン プログラム（LOGINAPPL）で PAM_login フラグを有効にします。 ［pam_seos］セクションで seos.ini の PamPassUserInfo トークンを 1 に設定して、seosd デーモンが PAM モジュールからログイン リクエストを受け取ることを確認します。

デフォルトのシェルが /etc/shells に定義されていないときにユーザ セッションが記録されない

キー ロガーに該当

/etc/shells に定義されていないシェルでユーザがログインすると、CA Access Control はユーザ セッションを記録しません。

PAM がアクティブな場合、FTP および SSH の猶予ログインで segrace が呼び出されない

PAM をアクティブにした場合、FTP および SSH サービスへの猶予ログインを行う segrace は、自動的には呼び出されません。

FTP に関するこの問題を回避するには、FTP サービスの LOGINAPPL レコードで LOGINFLAGS プロパティの値を nograce に変更します。

SSH に関するこの問題を回避するには、PAM から segrace を呼び出しません。 代わりに、ユーザまたはオペレーティング システム起動スクリプトから segrace を呼び出します。

猶予期限が終了すると、CA Access Control はパスワードをリセットしない

HPUX および AIX で該当

CA Access Control エンドポイントへの UNAB のインストールでは、ユーザ パスワードの猶予期間が期限切れになった場合に、CA Access Control PAM は、アカウント パスワードをリセットするための「sepass」ユーティリティの呼び出しを実行しません。

この問題は、loginflags（pamlogin）を使用するログイン アプリケーション（SSH ログイン、rlogin、FTP、Telnet など）に影響します。 Solaris ログインは、HPUX および AIX 上の CA Access Control ではログイン アクションとして認識されません。 この問題を回避するには、SSH ログイン アプリケーションで loginflags（none）を使用します。

一部のプロセスで、Solaris ネットワーク イベントのバイパスが機能しない

Solaris の場合、CA Access Control は、CA Access Control が起動する前に開始されたプロセスについては、ネットワーク イベント（SPECIALPGM レコードのバイパスの種類 PBN）をバイパスしません。

Stat インターセプト呼び出しが AIX システムでサポートされない

STAT_intercept トークンが「1」に設定された stat システム コールにおけるファイル アクセス チェックは AIX システムではサポートされません。