リリース ノート › 既知の問題 › 一般的な既知の問題 › UNAB の既知の問題

UNAB の既知の問題

このセクションは、UNAB の既知の問題について説明します。

UNAB エージェントは信頼される側のドメインへの接続を失いました

症状：

ユーザ チケットが失効する前にドメイン セキュリティ ポリシー Kerberos サービス チケットの有効期限が失効するよう設定した後、UNAB エージェント（uxauthd）では信頼される側のドメインへの接続が失われました。

解決方法：

uxauth.ini の tgt_renew_lifetime トークン値を Kerberos サービス チケットの最長有効期限よりも小さく設定します。

初回ログイン時のパスワード変更が失敗しました。

Solaris 10 で該当

ユーザは SSH を使用して、UNAB ホストにログインしようとしています。初回ログイン時にアカウントのパスワードを変更しようとすると、パスワード変更操作が失敗します。

マップされたユーザによる AIX へのログイン試行の失敗がログに記録されない

AIX に該当

症状：

マップされたユーザとして、SSH を使用して AIX UNIX ホストへのログインを試行するとき、失敗した試行が uxaudit によってログに記録されません。

解決方法：

ユーザが間違ったパスワードを入力した場合、マップされたユーザが失敗した最初のログイン試行は、Seaudit によってログに記録されません。 以降のログイン試行は uxaudit によってログに記録されます。

HP-UX 上で、次回ログイン時にパスワードの変更が失敗する

HP-UX に該当

Active Directory で、「ユーザは次回ログイン時にパスワード変更が必要」オプションを選択しました。 SSH または Telnet を使用してログインすると、ユーザがログインできないかパスワードを変更できません。

PAM 設定の変更によりユーザ ログインがブロックされる

Red Hat Linux 5.0 以上に該当

症状：

UNAB および CA ControlMinder を Red Hat Linux にインストールし、制御フィールドで "value=action" 構文を使用するように PAM 設定ファイルを設定しました。 Linux ホストへのログインを試行すると、ログイン動作が拒否されます。

解決方法：

UNAB は、PAM 設定ファイルで制御フィールドの "value=action" 構文をサポートしません。

一方向の信頼関係を持つドメイン環境で UNAB を登録解除した後、不正なユーザ ID が表示される

一方向の信頼関係を持つドメイン環境で UNAB を Active Directory から登録解除した後、一方向の信頼関係を持つドメインのユーザ ID 詳細が、表示されるべきではない場合にも表示されます。

信頼されているユーザ SSH ログインが AIX で失敗しました

症状：

SSH を使用して AIX 5.3 エンドポイントにログインしようとしましたが、ログインに失敗しました。

解決方法：

このエラーは、AIX と SSH のバージョンの一部の組み合わせで発生する、IBM の既知の問題です。 この問題は APAR （(Authorized Program Analysis Report）番号 IV10231 として IBM 開発部門にログ記録されています。

watchdog_enabled トークンが No に設定されても uxauthd が開始する

症状：

watchdog_enabled トークンを no に設定して UNAB を再起動すると、uxauthd が開始されます。

解決方法：

watchdog スクリプトは、最初に uxauthd を開始した後で watchdog_enabled トークンに行なわれた変更を無視します。 登録処理中に -n を指定し、トークンに変更を加えて、uxauthd.sh スクリプトを別に開始することをお勧めします。

試行ログインとしてのローカル アカウント パスワードを使用した監査ログ レコード ログイン

症状：

UNAB にログインし、ユーザ アカウントがローカル パスワード ファイルおよび Active Directory にある場合、監査ログに以下のレコードが表示されます。

<audit_record_date_and_time> A LOGIN map3

解決方法：

これは UNAB の既知の問題です。 監査ログは、P LOGIN ではなく A LOGIN を記録します。

ログイン エントリが 2 回記録される

Linux に該当

UNAB がインストールされているホストに rlogin を使用してログインすると、ログインの試行が監査に 2 回表示されます。

パフォーマンスを向上させるための Microsoft Windows Server 2003 用ホット フィックス

Windows Server 2003 SP1、Windows Server 2003 64 ビットで該当

LDAP_MATCHING_RULE_IN_CHAIN を使用した拡張検索で LDAP が Active Directory のクエリ結果を返すのに失敗します。

この問題の回避策として、MIcrosoft Windows 2003 Server 用の最新のサービス パックをインストールするか、wingrp_update_login トークンを「no」に設定して、ログイン中の UNAB グループの更新を無効にします。

注： 詳細については、Microsoft ナレッジベース記事 914828 を参照してください。

Uxpreinstall ユーティリティがホスト名の解決に失敗する

UNAB のインストールし後、および Active Directory への登録前に、uxpreinstall ユーティリティはホスト名解決の検証に失敗します。

この問題を回避するには、-d 引数を使用して、Active Directory ドメイン名を指定します。 以下に例を示します。

./uxpreinstall -d domain_name

Telnet および rlogin プログラムが監査レコードに表示されない

Linux、HP-UX に該当

UNAB 監査レコードに、telnet および rlogin のログイン プログラムが表示されません。 LInux では、UNAB 監査レコードに telnet または rlogin の代わりに "remote" と表示されます。 HP-UX では、UNAB 監査レコードに telnet または rlogin の代わりに "login" と表示されます。

uxconsole -register コマンドと -deregister コマンドの間隔

Active Directory に UNAB ホストを登録し、その後登録を解除する場合、ホストの登録を解除する前に、ドメイン コントローラ レプリケーションで必要となる時間を待機することをお勧めします。

注： UNAB ホストを登録解除する場合、配布されなかったポリシーは削除されます。

新規ドメイン ユーザの最初のログインが失敗する場合がある

SSH に対して有効

Active Directory でユーザを作成し、新規ユーザがすぐに UNAB エンドポイントへのログインを試行する場合、最初のログインは失敗しますが、それ以降のログインは問題なく行われます。 最初のログインが失敗するのは、ユーザがエンドポイントに認識されていないためです。 ただし、失敗したログイン プロセス中に、uxauthd はローカル NSS ストレージをユーザ情報で更新します。 それ以降のログインは成功します。これは、ユーザがエンドポイントに認識されるようになったためです。

デフォルトでは、uxauthd は NSS ストレージ内のユーザ情報を 1 時間おきに更新します。 uxauthd が NSS ストレージを更新した後に新規ユーザがエンドポイントへのログインを試行すると、ログインは成功します。

ログイン サービスが SSO ログインで PAM をバイパスする

SSO ログインでは、ログイン サービスは PAM をバイパスします。 ログイン ポリシーは適用されす、監査イベントも生成されません。

ホストへのログインが成功した後、エラー メッセージが生成される

Linux、AIX、HP-UX に有効

UNIX PAM フローに制限があるため、UNAB ホストへのログインが成功した後、アカウント認証に失敗したことを示すエラー メッセージが syslog ファイルに生成されます。

sepass でパスワードを変更しようとすると、パスワード不一致のメッセージが表示される

AIX 5.3 に該当

マップされたユーザが sepass を使用して、アカウント パスワードを変更しようとすると、パスワード不一致のエラー メッセージが表示されます。 エラー メッセージが表示されても、アカウント パスワードは Active Directory 上で変更されています。

Active Directory ユーザは Solaris 上でパスワードを変更できない

Sun Solaris のパスワードに関する制限事項により、Active Directory アカウントで UNIX ホストにログインするユーザは、Solaris のパスワード ツールを使用してアカウントを変更できません。 初回ログイン時にユーザがアカウント パスワードを変更する必要がある場合、ユーザは Solaris 以外のシステムからログインする必要があります。

UNAB が UNIX ホスト上で実行されている場合、以下のコマンドを使用してローカル アカウントのパスワードを変更します。

passwd -r files username

CA ControlMinder が UNIX ホスト上で実行されている場合、sepass ユーティリティを使用してローカル アカウントのパスワードを変更します。

Active Directory ユーザの代理実行では監査レコードが作成されない

su を使用して Active Directory ユーザを代理実行する場合、代理実行の試行は監査されません。

sshd プログラム名が SFTP セッションの監査レコードに表示される

sftp プログラムを使用し終えたログイン セッションの監査レコードは、sftp プログラムではなくプログラム フィールド内の sshd デーモンを表示する場合があります。

イベント ビューアの UNAB エントリに空白フィールドが含まれる

Windows イベント ビューアに空白フィールドのある UNAB イベントが表示されます。

エンタープライズ ユーザの FTP SSO ログインが監査されない

Solaris に該当

Kerberized FTP およびテルネット プログラムは PAM スタックをバイパスします。そのため UNAB は、エンタープライズ ユーザによる FTP およびテルネット SSO ログインを監査しません。

SSO が有効な UNAB を登録解除しても keytab ファイルからレコードが削除されない

以前に SSO を有効にして登録していた UNAB ホストを登録解除すると、そのコンピュータ オブジェクトは Active Directory から削除されますが、対応するレコードは keytab ファイルから削除されません。 その UNAB ホストを再び登録しようとしても、Kerberos チケットは作成されません。

この問題を回避するため、UNAB ホストを登録解除しないようにするか、UNAB ホストにのみ使用される場合は、keytab ファイルを削除することを推奨します。

HP-UX のパスワードで @ 記号がサポートされない

HP-UX に該当

HP-UX の制限事項により、HP-UX エンドポイント上では、パスワードに @ 記号を使用しないでください。

完全修飾ドメイン名による HP-UX へのログインがサポートされていない

HP-UX に該当

HP-UX では、完全修飾ドメイン名（例： user@domain）ではログインできません。