本节介绍了 UNAB 的已知问题。
症状:
在我从 12.6、12.6.1 或 12.6.2 升级到 12.8 之后,单向信任功能不起作用。
解决方案:
要解决此问题,在升级到 12.8 之后,您必须使用单向信任域注册 UNAB。
症状:
我在用户票单到期之前,配置了要到期的域安全策略 Kerberos 服务票单生命周期之后,UNAB 代理 (uxauthd) 失去到信任域的连接。
解决方案:
将 uxauth.ini 中的 tgt_renew_lifetime 标记值设置为小于 Kerberos 服务票单最大生命周期。
在 HP-UX IA64 上有效
要更改密码,系统将提示 Active Directory 用户两次,并且必须提供当前密码两次而不是一次。
在 AIX 上有效
症状:
在我作为映射的用户使用 SSH 尝试登录到 AIX UNIX 主机时,uxaudit 未记录失败的尝试。
解决方案:
如果用户输入不正确的密码,Seaudit 就不会记录映射用户的第一个失败登录尝试。 uxaudit 记录随后的登录尝试。
在 HP-UX 上有效
在 Active Directory 中,我选择了“用户必须在下次登录时更改密码”选项。 在我使用 SSH 或 Telnet 登录时,用户无法登录或更改密码。
在 Red Hat Linux 5.0 及以上有效
症状:
我在 Red Hat Linux 上安装了 UNAB 和 CA ControlMinder,并配置了 PAM 配置文件,以便在控制字段中使用“value=action”语法。 在我尝试登录到 Linux 主机时,登录操作被拒绝。
解决方案:
UNAB 不支持 PAM 配置文件中控制字段的“value=action”语法。
从单向信任域环境的 Active Directory 取消注册 UNAB 之后,会显示单向信任域的用户 ID 详细信息,即使他们不应出现。
症状:
我试图使用 SSH 登录到 AIX 5.3 端点,但登录尝试失败。
解决方案:
此错误是 AIX 和 SSH 版本若干组合的已知 IBM 问题。 该问题已被 IBM 开发部门记录为 APAR(授权程序分析报告),编号:IV10231。
症状:
将标记 watchdog_enabled 设置为 no 且重新启动 UNAB 时,uxauthd 启动。
解决方案:
Watchdog 脚本忽略在第一次启动 uxauthd 之后对 watchdog_enabled 标记做出的更改。 我们建议您在注册过程期间指定 -n,对标记做出更改,并分别启动 uxauthd.sh 脚本。
症状:
在我登录到 UNAB 且我的用户帐户存在于本地密码文件和 Active Directory 中时,审核日志显示以下记录:
<audit_record_date_and_time> A LOGIN map3
解决方案:
这是 UNAB 的已知问题。 审核日志记录 A LOGIN,而不是 P LOGIN。
在 Linux 上有效
如果您登录到已使用 rlogin 安装了 UNAB 的主机,登录尝试将在审核中出现两次。
在 Windows Server 2003 SP1、Windows Server 2003 64 位上有效
使用 LDAP_MATCHING_RULE_IN_CHAIN,LDAP 查询无法返回用于扩展搜索的 Active Directory 查询结果。
要解决该问题,为 MIcrosoft Windows 2003 Server 安装最新的 Service Pack,或通过将 wingrp_update_login 标记设置为 no 在登录期间禁用 UNAB 组更新。
注意:有关详细信息,请参阅 Microsoft 知识库文章 914828。
在安装 UNAB 之后、注册 Active Directory 之前,uxpreinstall 实用程序无法验证主机名解析。
要解决此问题,请使用 -d 参数指定 Active Directory 域名。 例如:
./uxpreinstall -d domain_name
在 Linux、HP-UX 上有效
UNAB 审核记录不显示 telnet 和 rlogin 登录程序。 在 Linux 中,UNAB 审核记录显示“remote”而不是 telnet 或 rlogin。 在 HP-UX 上,UNAB 审核记录显示“login”而不是 telnet 或 rlogin。
如果要在 Active Directory 中注册 UNAB 主机之后又取消注册,建议您在取消注册主机之前等待域控制器复制所需的时间。
注意:如果取消注册 UNAB 主机,将删除未分发的策略。
适用于 SSH
如果您在 Active Directory 中创建了一个用户后该新用户立即尝试登录到 UNAB 端点,则首次登录尝试将失败,但后续登录尝试会成功。 首次登录尝试失败的原因是用户不为端点所知。 但是,在失败的登录过程中,uxauthd 会将用户信息更新到本地 NSS 存储。 后续登录尝试成功是因为现在端点已经知道该用户。
默认情况下,uxauthd 每小时更新一次 NSS 存储中的用户信息。 如果新用户在 uxauthd 更新 NSS 存储之后再尝试登录到端点,登录将成功。
多种登录服务在 SSO 登录时跳过 PAM。 不会应用登录策略,也不会生成审核事件。
适用于 Linux、AIX、HP-UX
UNIX PAM 流限制导致成功登录到 UNAB 主机的行为被记录为错误消息,在 syslog 文件中指出帐户身份验证失败。
在 AIX 5.3 上有效
当映射用户尝试使用 sepass 更改帐户密码时,会出现密码不匹配错误消息。 无论出现什么错误消息,都将在 Active Directory 上更改帐户密码。
由于 Sun Solaris 密码限制,使用 Active Directory 帐户登录到 UNIX 主机的用户无法使用 Solaris passwd 工具更改其帐户密码。 如果用户必须在首次登录时更改帐户密码,用户必须从 Solaris 之外的系统进行登录。
如果 UNAB 正在 UNIX 主机上运行,请使用以下命令来更改本地帐户密码:
passwd -r files username
如果 CA ControlMinder 正在 UNIX 主机上运行,请使用 sepass 实用程序来更改本地帐户密码。
如果您使用 su 模拟 Active Directory 用户,则不会审核模拟尝试。
使用 sftp 程序所做的登录会话审核记录可能会在程序字段中显示 sshd 后台进程而不显示 sftp 程序。
Windows 事件查看器中显示的 UNAB 事件具有空白字段。
适用于 Solaris
Kerberized FTP 和 telnet 程序会跳过 PAM 堆栈,因此 UNAB 不会审核企业用户的 FTP 和 telnet SSO 登录。
当您取消注册先前在启用了 SSO 的情况下注册的 UNAB 主机时,会从 Active Directory 中删除该计算机对象,但不会从 keytab 文件中删除相应的记录。 如果您再次试图注册 UNAB 主机,将不会创建 Kerberos 票单。
要解决此问题,建议您不要取消注册 UNAB 主机,或者删除 keytab 文件(如果它仅由 UNAB 主机使用)。
在 HP-UX 上有效
由于 HP-UX 限制,请不要在 HP-UX 端点上的密码中使用 @ 符号。
在 HP-UX 上有效
您无法使用完全限定域名(例如:user@domain)登录到 HP-UX 主机。
|
版权所有 © 2013 CA。
保留所有权利。
|
|