版本说明 › 一般注意事项 › UNAB 注意事项

UNAB 注意事项

本节介绍了使用 UNAB 时应注意的事项。

启用 SELinux 进行登录时未创建主目录

在 Linux 上有效

症状：

使用 SSH 客户端登录到 Linux 主机时，启用 SELinux 时，未创建我的帐户的主目录。

解决方案：

使用 SSH 客户端尝试登录时，未创建主目录。 要解决此问题，请执行以下操作：

1. 打开 password-auth 文件。 默认情况下，此文件位于以下目录中：

   \etc\pam.d\
   

2. 找到会话部分。
3. 在 pam_uxauth 部分之前添加下列行：

   会话需要 pam_makehomedir.so
   

4. 保存并关闭文件。

在 Red Hat Linux 上更改密码尝试失败

在 Red Hat Linux 上有效

症状：

在请求更改我的密码时，密码更改过程完成之后，我无法在主机上继续工作。 使用 SSH 客户端或 Telnet 登录时，问题就会发生。

解决方案：

要解决该问题，请更改帐户密码，注销主机并使用新密码登录。

迁移后禁用本地用户帐户

将用户帐户完全迁移到 Active Directory 后，您可以通过在 etc/passwd 文件中帐户条目的开头添加星号 (*) 来禁用本地 UNIX 帐户。

不要将 unab_refresh_interval 标记值设置为短时间间隔

为避免 UNAB 性能问题，请不要将 unab_refresh_interval 标记值设置为短时间间隔。

不要将 Kerberos dns_lookup_realm 设置为 true

适用于 SSO 模式

建议除非有必要，否则不要将 Kerberos dns_lookup_realm 值设置为 true。 如果设置为 true，Kerberos 会启动不必要的 DNS 搜索，这样会大幅减慢 UNAB 登录过程。

UNAB 用户无法根据指定的密码策略更改帐户密码

如果 UNAB 用户无法更改其帐户密码，请确定您使用的域控制器安全策略未禁止用户更改其帐户密码。

sepass 与 UNAB 端点集成

sepass 实用程序与 UNAB 集成在一起。 通过此集成，用户可以在安装了 CA ControlMinder 和 UNAB 的端点上更改其 Active Directory 密码。

将 sepass 与 UNAB 集成：

• 确定您将 seos.ini 文件中的“change_pam”标志值设置为 yes 。配置此标志以指示 sepass 使用 PAM 界面更改密码。
• 确定您将 seos.ini 文件中的“auth_login”标志值设置为 pam 。配置此标志以指示 sepass 使用 PAM 界面验证现有密码。

注意：有关 seos.ini 初始化文件标志的详细信息，请参阅《参考指南》。

使用 Active Directory 帐户登录到 UNAB

如果您要使用本地主机上之前不存在的 Active Directory 帐户登录到 UNAB，请执行以下步骤：

1. 使用以下命令向 Active Directory 注册 UNAB 主机：

   uxconsole -register
   

2. 使用以下命令激活 UNAB：

   uxconsole -activate
   

3. 创建 UNAB 登录授权（登录策略）或本地登录策略（users.allow、users.deny、groups.allow、groups.deny），以使 Active Directory 用户能够登录。

安装 UNAB 后，无法使用管理员帐户登录到 CA ControlMinder for UNIX

在端点上安装 UNAB 之后，无法使用 Active Directory 管理员用户帐户登录到适用于 UNIX 的 CA ControlMinder 端点。 要解决此问题，您可以为此帐户创建 userPrincipleName。