Problemi noti

In questa sezione sono elencati i problemi noti di SEAM 1.0. Per ogni problema viene indicato un codice di identificazione e una sinossi, insieme a una breve descrizione del problema.

4084755: dtlockscreen usa un metodo tradizionale per il controllo delle password invece di PAM

Descrizione:

Per verificare la validità della password di un utente, dtlockscreen utilizza il metodo di controllo tradizionale invece di PAM. Esso effettua una chiamata a PAM solo se il metodo tradizionale non riesce. Questo può rappresentare un problema per la sicurezza, poiché un utente potrebbe accedere a un sistema con lo schermo bloccato usando solo la password definita nel servizio di denominazione per l'autenticazione UNIX^TM.

4189642: il messaggio di sintassi del servizio rsh basato su Kerberos contiene caratteri errati

Descrizione:

rsh, rlogin e rcp visualizzano la stringa dell'opzione con le opzioni non ammesse. Dovrebbero invece visualizzare il nome del programma.

4211978: gkadmin: il campo con la scadenza della password contiene informazioni fuorvianti

Descrizione:

Quando si utilizza gkadmin per cambiare la password, la data di scadenza della password viene modificata in quanto l'utility ricava questo valore dai criteri assegnati al nome principale. L'interfaccia non indica in modo chiaro che la data di scadenza viene ricavata da questi criteri. L'effetto sulla scadenza della password è effettivo, sia che la modifica venga effettuata con kadmin, kadmin.local, gkadmin, kpasswd o passwd.

Ogni volta che cambia la password l'utente ha due possibilità: cancellare il campo con la scadenza della password per farlo impostare dal server in base ai criteri, oppure lasciare una data inserita nel campo per impostare la data di scadenza in modo esplicito.

4143644: il comando rsh -f basato su Kerberos non funziona correttamente

Descrizione:

Se l'utente chiede esplicitamente di ottenere credenziali inoltrabili e tali credenziali non sono disponibili, il comando rsh non dovrebbe riuscire.

4159036: "telnet> encrypt enable DES_OFB64" blocca la sessione

Descrizione:

Il tipo di cifratura DES_OFB64 non può essere usato per la cifratura dei dati in telnet. L'unica cifratura che può essere usata è DES_CFB64, che è anche il tipo di cifratura predefinito.

4159419: nel generare le password casuali, gkadmin dovrebbe consultare i criteri

Descrizione:

Quando un utente usa gkadmin per generare una password casuale per un nome principale, lo strumento dovrebbe provare a consultare i criteri in uso per decidere il numero e le classi di caratteri da utilizzare. Nella maggior parte dei casi, questo permetterebbe di creare una password accettabile dalla API kadmin.

4170403: Le operazioni rlogin basate su Kerberos tra settori diversi non vengono rifiutate quando la password non è corretta

Descrizione:

Quando il comando rlogin basato su Kerberos è abilitato in inetd.conf e non è abilitato in pam.conf (sugli host che eseguono un server rlogin), l'utente viene autenticato in modo corretto con Kerberos V5 quando utilizza rlogin tra settori diversi. Tuttavia, se all'utente viene richiesta una password, viene accettata qualunque password come risposta. Questo non rappresenta comunque un difetto di sicurezza, perché l'utente è stato autenticato con Kerberos V5. Evitare di disabilitare il comando rlogin basato su Kerberos in pam.conf se è abilitato in inetd.conf.

4172240: quando si utilizza l'opzione -r con telnet, telnet indica il carattere di escape come ^]

Descrizione:

Il carattere di escape corretto è ~, come descritto nella pagina man.

4177603: il comando kprop restituisce un messaggio "pipe interrotta" quando kpropd.acl non contiene una voce per il master

Descrizione:

Se /etc/krb5/kpropd.acl non è configurato correttamente su un KDC slave, il comando kprop sul client non viene eseguito e genera un messaggio "pipe interrotta".

4178210: gkadmin: alla scadenza del ticket, dovrebbe essere ripresentata la finestra di login per una nuova autenticazione

Descrizione:

Quando scade la credenziale dell'amministratore che è connesso a gkadmin, gkadmin dovrebbe generare un messaggio indicante che il ticket o la credenziale sono scaduti; quindi, facendo clic su "OK", gkadmin dovrebbe chiudere la finestra corrente dell'Amministrazione SEAM e ripresentare la finestra di login con il prompt attivo sul campo "Password:", per indicare che l'amministratore deve inserire la password per riautenticarsi.

4179331: gkadmin: non è possibile cambiare la denominazione del nome principale o dei criteri

Descrizione:

gkadmin non permette di cambiare la denominazione di un nome principale o di un insieme di criteri. Per rinominarli, è necessario copiare il nome principale o i criteri con il pulsante "Duplica" e quindi eliminare quelli vecchi.

4184145: gkadmin: alcuni elementi dell'interfaccia nella finestra Proprietà hanno i bordi incompleti

Descrizione:

Il pulsante "..." di "Timeout della cache" è incompleto sul lato destro. Inoltre, dopo aver selezionato "Mostra elenchi" o "Conserva nella cache", il rettangolo evidenziato che circonda questi pulsanti selezionabili è privo del bordo sinistro.

4188923: gkadmin: problemi secondari della guida SEAM per la stampa

Descrizione:

La Guida SEAM per la stampa può visualizzare alcuni dati inseriti prima di premere "Annulla". Il comando Annulla dovrebbe invece eliminare le modifiche e ripristinare il contenuto precedente della finestra. Inoltre, il campo di testo "Nome del file" nella Guida SEAM per la stampa non viene cancellato correttamente.

4188935: gkadmin: il pulsante Chiudi con funziona correttamente in alcune finestre della guida

Descrizione:

Quando si esegue xhost con l'Amministrazione SEAM, il pulsante Chiudi non funziona correttamente in alcune finestre della guida.

4189590: kadmin e gkadmin dovrebbero visualizzare una stringa differente quando i valori di durata sono 2^31-1

Descrizione:

Quando l'utente crea un nuovo nome principale e vuole che la durata dei ticket venga impostata sul lato del KDC, i valori 2147483647 = 2^31-1 vengono memorizzati nel database dei nomi principali. Quando si visualizza un nome principale, l'interfaccia grafica e l'interfaccia dalla riga di comando non dovrebbero visualizzare i valori 2147483647 (interfaccia grafica) e 24855 giorni 03:14:07 (riga di comando), ma mostrare al loro posto una stringa più comprensibile. Questo tipo di controllo viene già effettuato quando la data 0 viene visualizzata come "Mai".

4191906: La data indicata nel messaggio di avvertimento che compare alla scadenza della credenziale è fuorviante

Descrizione:

Se la data di scadenza del ticket iniziale è inferiore alla soglia di avvertimento in /etc/krb5/warn.conf, il messaggio di errore che viene generato indica che il ticket scadrà entro la data specificata nel file warn.conf, e non alla data di scadenza del ticket.

4191933: i ticket di servizio non vengono memorizzati nella cache dei ticket quando kinit viene usato con una durata inferiore a 30 minuti

Descrizione:

Quando un utente acquisisce le credenziali (un TGT) usando kinit -l con una durata inferiore a 30 minuti, tutti i ticket di servizio derivati dalla credenziale non compaiono nella cache dei ticket. La ragione è che, se una credenziale rinnovabile ha una durata inferiore a 30 minuti, SEAM cerca di rinnovarla automaticamente per migliorarne la facilità d'uso. Il rinnovo di una credenziale produce la rimozione della credenziale precedente e dei ticket di servizio da essa derivati. Non vi sono altri effetti, perché le sessioni create usando il vecchio ticket di servizio vengono mantenute per la durata del ticket. Non richiamare kinit con l'opzione -l specificando una durata inferiore a 30 minuti.

4193608: kinit -s ha alcuni problemi

Descrizione:

L'utente non può usare kinit per acquisire un ticket postdatato con una data iniziale posteriore di oltre 19 giorni rispetto alla data corrente.

4193925: gkadmin: comportamento incoerente del tasto Enter durante la creazione di nuovi criteri

Descrizione:

Attualmente, dopo aver inserito il nome di un gruppo di criteri nella finestra "Dettagli sui criteri" usando i valori predefiniti per i parametri, premendo il tasto Enter (Return) i criteri non vengono creati automaticamente. Il tasto Enter/Return dovrebbe invece avere lo stesso effetto del pulsante Fatto.

4194001: gkadmin: il campo "Autore dell'ultima modifica:" non mostra il nome completo

Descrizione:

Il campo "Autore dell'ultima modifica" non presenta il nome dell'istanza, perciò i nomi principali di amministrazione non vengono identificati correttamente.

4206443: Documentazione della negoziazione della durata e della durata rinnovabile nella pagina man di kinit

Descrizione:

Quando un utente specifica una durata nella riga di comando, la durata effettiva del ticket ottenuto è il valore più basso tra i seguenti:

• Il valore specificato nella riga di comando

• Il valore specificato nel file di configurazione del KDC

• Il valore specificato nel database Kerberos per il nome principale del server; nel caso di kinit, questo nome principale è krbtgt/<nome_settore>.

• Il valore specificato nel database di Kerberos per il nome principale dell'utente

4210970: gkadmin: la Guida SEAM per l'impostazione di data/ora non sostituisce il 29 febbraio con il 28 febbraio se viene cambiato l'anno

Descrizione:

Se si modifica l'anno nella Guida SEAM per l'impostazione di data/ora, l'applicazione non ricalcola la data massima consentita per quel mese.

4218214: gkadmin: il tasto "Return" non funziona sui pulsanti evidenziati dell'interfaccia grafica

Descrizione:

È possibile fare clic con il mouse sui pulsanti dell'interfaccia grafica, ma non si possono selezionare i pulsanti evidenziati con il tasto "Enter" o "Return".

4220042: "kadmin: add_principal -expire "1/1/2000 7:00am" xhu" non funziona

Descrizione:

L'opzione -expire del comando add_principal di kadmin non funziona se si specifica un'ora antimeridiana (a.m.). Ad esempio:

kadmin: add_principal -expire "9/1/1999 7:00am" xhu È stata specificata una data non valida "9/1/1999 7:00am".

L'uso di "pm" funziona correttamente. Per impostare un orario antimeridiano, non includere "am" nell'ora specificata. Usare la forma seguente:

kadmin: add_principal -expire "9/1/1999 7:00"

4245090: documentazione riguardo all'aggiunta dei nomi principali quando non si utilizza DNS

Descrizione:

Le procedure riportate nella documentazione di SEAM si riferiscono a un ambiente che utilizzi il DNS, perciò tutti i nomi principali degli host e dei servizi utilizzano nomi di dominio pienamente qualificati. Se non si utilizza il DNS, non includere il nome del dominio quando si crea un nome principale. Ad esempio, kdc1.spa.it deve essere specificato come kdc1.