リリース ノート › 既知の問題 › 一般的な既知の問題 › UNIX エンドポイントの既知の問題

UNIX エンドポイントの既知の問題

このセクションでは、CA ControlMinder for UNIX の既知の問題について説明します。

Solaris 8 上の FTP ログインが失敗します

症状：

Solaris 8 マシン上での AD ユーザの FTP ログインが失敗します。

530 Login incorrect.
Login failed.

同じアカウント認証情報はネイティブ ユーザには正しく機能します。

解決方法：

なし Solaris 8 上の ftpd では /etc/shadow および NIS でアカウントの存在を確認します。 この制限は、新規の Solaris バージョンの FTP 実装にはありません。

CAWIN インストールに Ncurses が必要です

Linux 64 ビット サーバに該当

CAWIN を Linux 64 ビット サーバ上にインストールする前に、Ncurses 32 ビットをインストールします。

serevu デーモンの実行中に失敗したログイン イベントが監査されない

VMware vCenter 4.0 u2 で該当

CA ControlMinder の VMware vCenter バージョン 4.0 u2 へのインストール時に serevu デーモンが実行されていると、以下が発生します。

• 失敗したログイン イベントの LOGIN レコードが監査ファイルに表示されまない
• pam_seos_failed_login.log ファイルのサイズが 0

この問題を回避するには、以下の操作を行います。

1. すべての CA ControlMinder デーモンを停止します。
2. 以下のディレクトリに移動します。

   /etc/pam.d/
   

3. system-auth ファイルを編集して、pam_seos.so への参照をすべて削除します。 例：

   account required pam_per_user.so /etc/pam.d/login.map
   auth required pam_per_user.so /etc/pam.d/login.map
   password required pam_per_user.so /etc/pam.d/login.map
   session required pam_per_user.so /etc/pam.d/login.map
   

4. system-auth-generic ファイルを編集して、pam_seos.so への参照を追加します。 例：

   password  sufficient  pam_seos.so
   auth       optional     pam_seos.so
   account    optional     pam_seos.so
   session    optional     pam_seos.so
   

5. system-auth-local ファイルを編集して、pam_seos.so への参照を追加します。 例：

   password  sufficient  pam_seos.so
   auth       optional     pam_seos.so
   account    optional     pam_seos.so
   session    optional     pam_seos.so
   

6. ファイルを保存して閉じます。
7. CA ControlMinder デーモンを開始します。

SElinux が有効な場合 CA ControlMinder または監査ログによって SSH ログインが監査されない

RedHat Linux Advanced Server 6 で該当

RedHat Linux Advanced Server 6 で、 SSH ユーザのログインが CA ControlMinder によって監査されません。これは、SElinux のデフォルト ポリシーでは SSHD の /proc ファイル システムへのアクセスが許可されないためです。

この問題の回避策として、/opt/CA/AccessControl /lbin/sshd_policy.sh スクリプトを実行して SElinux ポリシー モジュールをロードし、/proc へのアクセスを許可します。

Linux 上で JBoss JDBC パスワード コンシューマを設定できない

Linux に該当

現在、LInux 上で JBoss JDBC パスワード コンシューマを設定できません。

CA ControlMinder にログインするには PAM_Login フラグが有効になっていることが必要

AIX に該当

PAM_login フラグが有効になっていない場合、CA ControlMinder は Active Directory ユーザ アカウントを正しく検出できません。

この問題を回避するには、設定したログイン プログラム（LOGINAPPL）で PAM_login フラグを有効にします。 ［pam_seos］セクションで seos.ini の PamPassUserInfo トークンを 1 に設定して、seosd デーモンが PAM モジュールからログイン リクエストを受け取ることを確認します。

以下のコマンドを使用して、ログイン フラグを設定します。

er LOGINAPPL SSH loginflags(pamlogin)

デフォルトのシェルが /etc/shells に定義されていないときにユーザ セッションが記録されない

キー ロガーに該当

/etc/shells に定義されていないシェルでユーザがログインすると、CA ControlMinder はユーザ セッションを記録しません。

PAM がアクティブな場合、FTP および SSH の猶予ログインで segrace が呼び出されない

PAM をアクティブにした場合、FTP および SSH サービスへの猶予ログインを行う segrace は、自動的には呼び出されません。

FTP に関するこの問題を回避するには、FTP サービスの LOGINAPPL レコードで LOGINFLAGS プロパティの値を nograce に変更します。

SSH に関するこの問題を回避するには、PAM から segrace を呼び出しません。 代わりに、ユーザまたはオペレーティング システム起動スクリプトから segrace を呼び出します。

猶予期限が終了すると、CA ControlMinder はパスワードをリセットしない

HPUX および AIX で該当

CA ControlMinder エンドポイントへの UNAB のインストールでは、ユーザ パスワードの猶予期間が期限切れになった場合に、CA ControlMinder PAM は、アカウント パスワードをリセットするための「sepass」ユーティリティの呼び出しを実行しません。

この問題は、loginflags（pamlogin）を使用するログイン アプリケーション（SSH ログイン、rlogin、FTP、Telnet など）に影響します。 Solaris ログインは、HPUX および AIX 上の CA ControlMinder ではログイン アクションとして認識されません。 この問題を回避するには、SSH ログイン アプリケーションで loginflags（none）を使用します。

以下のコマンドを実行して、トークンを設定します。

er LOGINAPPL SSH loginflags(none)

一部のプロセスで、Solaris ネットワーク イベントのバイパスが機能しない

Solaris の場合、CA ControlMinder は、CA ControlMinder が起動する前に開始されたプロセスについては、ネットワーク イベント（SPECIALPGM レコードのバイパスの種類 PBN）をバイパスしません。

Stat インターセプト呼び出しが AIX システムでサポートされない

STAT_intercept トークンが「1」に設定された stat システム コールにおけるファイル アクセス チェックは AIX システムではサポートされません。