이전 항목: UNIX 끝점 알려진 문제점다음 항목: 서버 구성 요소의 알려진 문제점

릴리스 정보알려진 문제일반 알려진 문제점UNAB 알려진 문제점

UNAB 알려진 문제점

이 단원은 UNAB의 알려진 문제점에 대해 설명합니다.

UNAB 업그레이드 후 단방향 트러스트 기능이 실패함

증상

12.6, 12.6.1 또는 12.6.2에서 12.8로 업그레이드한 이후에 단방향 트러스트 기능이 동작하지 않습니다.

해결 방법

이 문제를 해결하려면 12.8로 업그레이드한 후에 단방향 트러스트 도메인에 UNAB를 등록해야 합니다.

UNAB 에이전트와 트러스트된 도메인 사이의 연결이 끊김

증상

도메인 보안 정책 Kerberos 서비스 티켓 수명이 사용자 티켓 만료 전에 만료되도록 구성한 이후에 UNAB 에이전트(uxauthd)와 트러스트된 도메인 사이의 연결이 끊깁니다.

해결 방법

uxauth.ini의 tgt_renew_lifetime 토큰 값을 Kerberos 서비스 최대 수명보다 작게 설정하십시오.

HP-UX에서 AD 사용자에게 현재 암호를 묻는 메시지가 두 번 표시됨

HP-UX IA64에 해당

Active Directory 사용자는 현재 암호를 한 번이 아니라 두 번 제공해야 암호를 변경할 수 있습니다.

AIX에 대한 매핑된 사용자의 실패한 로그인 시도가 로깅되지 않음

AIX에 해당

증상

SSH를 사용하여 매핑된 사용자로 AIX UNIX 호스트에 로그인을 시도할 때 uxaudit가 실패한 시도를 로깅하지 않습니다.

해결 방법

Seaudit는 사용자가 잘못된 암호를 입력한 경우 매핑된 사용자의 실패한 로그인 시도를 로깅하지 않습니다. 이후 로그인 시도는 uxaudit에 의해 로깅됩니다.

HP-UX에서 다음 로그인 시 암호 변경이 실패함

HP-UX에 해당

Active Directory에서 "다음 로그인할 때 반드시 암호 변경" 옵션을 선택했습니다. SSH 또는 텔넷을 사용하여 로그인하면 사용자가 로그인하거나 암호를 변경할 수 없습니다.

PAM 구성 변경이 사용자 로그인을 차단

Red Hat Linux 5.0 이상에 해당

증상

Red Hat Linux에 UNAB 및 CA ControlMinder을 설치하고 제어 필드에서 "value=action" 구문을 사용하도록 PAM 구성 파일을 구성했습니다. Linux 호스트에 로그인하려고 시도하면 로그인 작업이 거부됩니다.

해결 방법

UNAB는 PAM 구성 파일에서 제어 파일의 "value=action" 구문을 지원하지 않습니다.

단방향 트러스트 도메인 환경에서 UNAB의 등록을 취소한 후 사용자 ID가 잘못 표시됨

단방향 트러스트 도메인 환경의 Active Directory에서 UNAB의 등록을 취소한 후 단방향 트러스트 도메인의 사용자 ID 정보가 표시되지 않아야 함에도 불구하고 이 정보가 표시됩니다.

AIX에서 트러스트된 사용자 SSH 로그인이 실패함

증상

SSH를 사용하여 AIX 5.3 끝점에 로그인하려고 시도했지만 로그인 시도가 실패했습니다.

해결 방법

이 오류는 AIX와 SSH의 여러 버전 조합과 관련된 알려진 IBM 문제점입니다. 이 문제점은 IBM 개발부에 APAR(Authorized Program Analysis Report) 번호 IV10231로 로깅되어 있습니다.

watchdog_enabled 토큰이 'No'로 설정된 경우에도 uxauthd가 시작됨

증상

watchdog_enabled 토큰을 'no'로 설정하고 UNAB를 다시 시작하면 uxauthd가 시작됩니다.

해결 방법

watchdog 스크립트는 uxauthd가 처음 시작된 후 watchdog_enabled 토큰에 대해 수행된 변경 내용을 무시합니다. 등록 과정 중 -n을 지정하고, 토큰에 변경 사항을 수행하고, uxauthd.sh 스크립트를 별도로 시작할 것을 권장합니다.

감사 로그가 로컬 계정 암호를 사용한 로그인을 로그인 시도로 기록

증상

UNAB에 로그인하고 내 사용자 계정이 로컬 암호 파일 및 Active Directory에 있는 경우 감사 로그에 다음과 같이 표시됩니다.

<audit_record_date_and_time> A LOGIN map3

해결 방법

이것은 UNAB의 알려진 문제점입니다. 감사 로그는 P LOGIN 대신 A LOGIN을 기록합니다.

Rlogin 항목이 두 번 로깅됨

Linux에 해당

rlogin을 사용하여 UNAB가 설치된 호스트에 로그인하면 이 로그인 시도가 감사에 두 번 표시됩니다.

성능 개선을 위한 Microsoft Windows Server 2003용 핫픽스

Windows Server 2003 SP1, Windows Server 2003 64 비트에 해당

LDAP 쿼리는 LDAP_MATCHING_RULE_IN_CHAIN을 사용한 확장 검색에 대한 쿼리 결과를 반환하지 못합니다.

이 문제를 해결하려면 MIcrosoft Windows 2003 Server용 최신 서비스 팩을 설치하거나 wingrp_update_login 토큰을 'no'로 설정하여 UNAB 그룹 업데이트를 비활성화하십시오.

참고: 자세한 내용은 Microsoft 기술 자료 문서 914828을 참조하십시오.

Uxpreinstall 유틸리티가 호스트 이름 확인을 검사할 수 없음

UNAB를 설치한 이후 그리고 Active Directory에 등록하기 전에 uxpreinstall 유틸리티가 호스트 이름 확인을 검사할 수 없습니다.

이 문제를 해결하려면 -d 인수를 사용하여 Active Directory 도메인 이름을 지정하십시오. 예:

./uxpreinstall -d domain_name
telnet 및 rlogin 프로그램이 감사 보고서에 표시되지 않음

Linux, HP-UX에 해당

UNAB 감사 레코드는 telnet 및 rlogin 로그인 프로그램을 표시하지 않습니다. LInux에서 UNAB 감사 레코드는 telnet 또는 rlogin 대신 "remote"를 표시합니다. HP-UX에서 UNAB 감사 레코드는 telnet 또는 rlogin 대신 "login"을 표시합니다.

uxconsole -register와 -deregister 명령 사이의 간격

Active Directory에서 UNAB 호스트를 등록한 후 등록 취소하는 경우 호스트를 등록한 후 호스트를 등록 취소하기 전에 도메인 컨트롤러 복제에 필요한 시간 동안 기다리는 것이 좋습니다.

참고: UNAB 호스트를 등록 취소하면 배포되지 않은 정책이 삭제됩니다.

첫 시도에서 새 도메인 사용자 로그인이 실패할 수 있음

SSH에 해당

Active Directory에 사용자를 만들고 이 새 사용자가 즉시 UNAB 끝점에 로그인을 시도하면 첫 로그인 시도가 실패하지만 이후 로그인 시도는 성공합니다. 첫 번째 로그인 시도가 실패하는 이유는 이 사용자가 끝점에 알려지지 않았기 때문입니다. 하지만 실패한 로그인 프로세스 중에 uxauthd는 해당 사용자 정보로 로컬 NSS 저장소를 업데이트합니다. 이후 로그인 시도는 해당 사용자가 이제 끝점에 알려졌으므로 성공합니다.

기본적으로 uxauthd는 NSS 저장소에서 사용자 정보를 매시간 업데이트합니다. uxauthd가 NSS 저장소를 업데이트한 이후에 새 사용자가 끝점에 로그인을 시도하면 로그인이 성공합니다.

로그인 서비스가 SSO 로그인에서 PAM을 건너뜀

여러 로그인 서비스가 SSO 로그인에서 PAM을 건너뜁니다. 로그인 정책이 적용되지 않고 감사 이벤트가 생성되지 않습니다.

호스트에 로그인 성공 후 오류 메시지가 표시됨

Linux, AIX, HP-UX에 해당

UNIX PAM 흐름의 제한으로 인해 UNAB 호스트에 성공적으로 로그인했을 때 syslog 파일에서 계정 인증이 실패했음을 알리는 오류 메시지가 표시됩니다.

sepass를 사용하여 암호를 변경할 때 암호 불일치 메시지가 표시됨

AIX 5.3에 해당

암호 불일치 오류는 매핑된 사용자가 sepass를 사용하여 계정 암호를 변경하려고 시도하는 경우 표시됩니다. 이 오류 메시지에도 불구하고 Active Directory에서 계정 암호는 변경됩니다.

Active Directory 사용자가 Solaris에서 암호를 변경할 수 없음

Sun Solaris 암호 제한 사항으로 인해 Active Directory 계정을 사용하여 UNIX 호스트에 로그인하는 사용자는 Solaris passwd 도구를 사용하여 자신의 계정 암호를 변경할 수 없습니다. 처음 로그인할 때 사용자가 계정 암호를 변경해야 하는 경우 Solaris가 아닌 다른 시스템에서 로그인해야 합니다.

UNAB가 UNIX 호스트에서 실행 중인 경우 다음 명령을 사용하여 로컬 계정 암호를 변경하십시오.

passwd -r files username

CA ControlMinder이 UNIX 호스트에서 실행 중인 경우 sepass 유틸리티를 사용하여 로컬 계정 암호를 변경하십시오.

Active Directory 사용자 가장(impersonate)이 감사 레코드를 생성하지 않음

su를 사용하여 Active Directory 사용자로 전환하는 경우 이 시도가 감사되지 않습니다.

sshd 프로그램 이름이 SFTP 세션의 감사 레코드에 나타남

sftp 프로그램을 사용하여 완료된 로그인 세션의 감사 레코드에서 프로그램 필드에 sftp 프로그램이 아닌 sshd 데몬이 표시될 수 있습니다.

이벤트 뷰어에서 UNAB 항목이 빈 필드로 표시됨

Windows 이벤트 뷰어에서 UNAB 이벤트가 빈 필드로 표시됩니다.

엔터프라이즈 사용자의 FTP SSO 로그인이 감사되지 않음

Solaris에 해당

Kerberos를 사용하는 FTP 및 텔넷 프로그램은 PAM 스택을 우회하므로 UNAB가 엔터프라이즈 사용자의 FTP 및 텔넷 SSO 로그인을 감사하지 않습니다.

SSO 사용 UNAB의 등록을 취소하면 Keytab 파일에서 레코드가 삭제되지 않음

이전에 SSO를 활성화하여 등록한 UNAB 호스트의 등록을 취소하면 컴퓨터 개체가 Active Directory에서 제거되지만 해당 레코드가 keytab 파일에서는 삭제되지 않습니다. UNAB 호스트를 다시 등록하려고 시도하면 Kerberos 티켓이 만들어지지 않습니다.

이 문제를 해결하려면 UNAB 호스트의 등록을 취소하지 말거나, 또는 UNAB 호스트에서만 사용되는 경우 keytab 파일을 제거할 것을 권장합니다.

HP-UX에서 암호에 @ 기호를 사용할 수 없음

HP-UX에 해당

HP-UX의 제한으로 인해 HP-UX 끝점에서 암호에 @ 기호를 사용할 수 없습니다.

HP-UX가 정규화된 도메인 이름 로그인을 지원하지 않음

HP-UX에 해당

정규화된 도메인 이름(예: user@domain)을 사용하여 HP-UX 호스트에 로그인할 수 없습니다.