故障排除指南 › 排除 UNAB 问题 › Active Directory 用户无法登录到 UNAB 端点

Active Directory 用户无法登录到 UNAB 端点

在 UNIX 上有效

症状：

具有 UNIX 属性的 Active Directory 用户无法登录到 UNAB 端点。

解决方案：

要解决该问题，请执行以下操作：

1. 确定用户的容器为以下容器之一：
   • user_container 配置设置中指定的容器。
   • user_container 配置设置中指定的容器下的子容器。

     注意：user_container 配置设置位于 uxauth.ini 文件的 AD 部分中。

2. 确定用户在 Active Directory 中具有 UID 和 GID。
3. 确定用户未被挂起。
4. 验证 UNAB 是否已在端点上启动：
   1. 在端点上打开命令提示符窗口。
   2. 运行以下命令：

      ./uxauthd.sh status
      

      将出现一条消息，通知您 UNAB 的当前状态。

5. 确定端点已在 Active Directory 中注册。

   注意：如果端点未在 Active Directory 中注册，请使用 uxconsole -register 实用程序注册该主机。

6. 如下所述在端点上停止您操作系统的名称或密码缓存后台进程：
   1. 停止 UNAB：

      ./uxauthd.sh stop
      

   2. 删除 NSS 缓存数据库：

      rm -rf /opt/CA/uxauth/etc/nss.db
      

   3. 检查您操作系统的名称或密码缓存后台进程是否正在端点上运行。

      例如：对于 Linux 或 Solaris 端点，检查 nscd 后台进程是否正在运行。 对于 HP-UX 端点，检查 pwgrd 后台进程是否正在运行。

   4. 如果您操作系统的名称或密码缓存后台进程正在运行，请终止该进程。
   5. 启动 UNAB：

      ./uxauthd.sh start
      

7. 使用其他 Active Directory 用户帐户获取 Ticket Granting Ticket (TGT)。

   运行以下命令，以使用 Administrator 帐户连接到 Active Directory：

   ./uxconsole -krb -init Administrator
   

   注意：您可以使用代理 keytab 获取 TGT，例如：

   ./uxconsole -krb -init -k
   

8. 直接解析 Active Directory 用户帐户：
   • 运行以下搜索：

     ./uxconsole -ldap -search "(&(objectClass=user)(sAMAccountName=johndoe))"
     

     检查预期用户帐户名称与实际用户帐户名称之间的差异。

9. 在其他域中搜索用户帐户（如果适用）。
   • 运行以下命令：

     ./uxconsole -ldap -search -b DC=unabca,DC=test,DC=co,DC=il "(&(objectClass=user)(objectCategory=person))"
     

10. 验证 Active Directory 和 UNIX 上的用户帐户 UNIX 属性是否完全相同。