Defectos conocidos

Sigue una lista de los defectos conocidos en SEAM 1.0. Cada elemento incluye el número de defecto y su resumen, así como una breve descripción.

4084755: dtlockscreen utiliza el método tradicional para comprobar la contraseña en lugar de PAM

Descripción:

dtlockscreen utiliza el método tradicional para comprobar que la contraseña de un usuario sea válida en lugar de PAM. Hace una llamada a PAM únicamente si falla esto; es un riesgo de seguridad potencial, ya que es posible que un usuario obtenga acceso a un sistema que muestre un bloqueo de pantalla mediante únicamente la contraseña definida en el servicio de nombres para la autenticación de UNIX^TM.

4189642: residuos en el mensaje de sintaxis de rsh adaptado a Kerberos

Descripción:

rsh, rlogin y rcp imprimen la cadena de opciones para las opciones no permitidas. Deberían imprimir el nombre del programa.

4211978: gkadmin: el campo La contraseña caduca: muestra información engañosa

Descripción:

Cuando se utiliza gkadmin para cambiar la contraseña, varía el tiempo de caducidad de ésta, ya que obtiene este tiempo desde una norma asignada al principal. La GUI no hace obvio que la hora de caducidad proviene de una norma. El efecto de caducidad de las contraseñas es cierto, tanto si se cambian éstas con kadmin, kadmin.local, gkadmin, kpasswd o passwd.

Los usuarios deben tener en cuenta que cada vez que cambian la contraseña tienen dos opciones: vaciar el campo de caducidad de la contraseña para hacer que el servidor lo complete consultando la norma, o incluir una fecha en el campo para definir la fecha de caducidad explícitamente.

4143644: rsh -f adaptado a Kerberos no ha funcionado correctamente

Descripción:

Si el usuario solicita las credenciales remitibles de forma explícita, rsh debería fallar si no hay ninguna.

4159036: "telnet> encrypt enable DES_OFB64" ha bloqueado la sesión

Descripción:

No es posible utilizar el tipo de encriptación DES_OFB64 para la encriptación de datos en telnet. Sólo se puede utilizar DES_CFB64, que también se trata del tipo de encriptación predeterminado.

4159419: gkadmin debería consultar la norma si es posible, al generar contraseñas aleatorias

Descripción:

Cuando un usuario utiliza gkadmin para generar una contraseña aleatoria para un principal, la herramienta debería intentar consultar la norma que se está aplicando para decidir qué número y clases de caracteres se debe utilizar. Esto provocará que la API de kadmin acepte la primera contraseña generada en la mayoría de casos.

4170403: rlogin adaptado a Kerberos en los ámbitos cruzados no falla con una contraseña incorrecta

Descripción:

Cuando rlogin adaptado a Kerberos está habilitado en inetd.conf pero no lo está en pam.conf (en un sistema que ejecute un servidor de rlogin), se autenticará correctamente a un usuario mediante Kerberos V5 cuando se utilice rlogin entre ámbitos. Sin embargo, si se solicita una contraseña al usuario, se aceptará cualquiera. Esto no representa un agujero en la seguridad, ya que se ha autenticado al usuario mediante Kerberos V5. Evite inhabilitar el rlogin adaptado a Kerberos en pam.conf si lo habilita en inetd.conf.

4172240: cuando se utiliza la opción -r de telnet, éste informa que el carácter de escape es ^]

Descripción:

El carácter de escape es ~, tal como se describe en la página del comando man.

4177603: el comando kprop devuelve "Conducción interrumpida" cuando falta una entrada para el maestro en kpropd.acl

Descripción:

Si /etc/krb5/kpropd.acl no está configurado correctamente en un KDC esclavo, el comando kprop del cliente falla con el error "Conducción interrumpida".

4178210: gkadmin: cuando caduca el cupón, se debería volver a la ventana de inicio de sesión para la reautenticación

Descripción:

Cuando caduca la credencial del administrador que ha iniciado una sesión actualmente en gkadmin, sería adecuado que gkadmin mostrara un mensaje que señalara "Ha caducado el cupón o la credencial"; a continuación, después de que el administrador hiciera clic en el botón "Aceptar", gkadmin debería cerrar la ventana actual de "SEAM Administration Tool" y devolver al usuario a la pantalla "Inicio de sesión de administración de SEAM", con el indicador activo en el campo "Contraseña:", para dar a entender que el usuario administrador necesita escribir la contraseña para su reautenticación.

4179331: gkadmin: no es posible cambiar el nombre del principal o la norma

Descripción:

gkadmin no admite la capacidad para cambiar el nombre o la norma de un principal. Para conseguir este efecto, se debe copiar el principal o la norma al nuevo nombre mediante el botón "Duplicar" y luego suprimir el antiguo.

4184145: gkadmin: algunos elementos de la GUI de la ventana Propiedades no tienen algunos bordes

Descripción:

Al botón "..." de "Tiempo de espera de antememoria de lista" le falta el lado derecho. Además, después de seleccionar "Mostrar lista" o "Colocar listas en antememoria siempre", al rectángulo resaltado que rodea a estos botones seleccionables le falta el borde IZQUIERDO.

4188923: gkadmin: problemas pequeños con el asistente de impresión de SEAM

Descripción:

El asistente de impresión de SEAM puede mostrar los datos introducidos antes de pulsar "Cancelar". Cancelar debería descartar los cambios y restablecer lo que había anteriormente. Además, el campo de texto Nombre de archivo de la ventana del asistente de impresión de SEAM no se borra correctamente.

4188935: gkadmin: el botón Descartar no funciona correctamente en algunas ventanas de la Ayuda

Descripción:

Cuando se hace xhost de la herramienta de administración GUI de SEAM, el botón Descartar no funciona correctamente en algunas pantallas de la Ayuda.

4189590: kadmin y gkadmin deberían imprimir una cadena alternativa cuando las vigencias son 2^31-1

Descripción:

Cuando un usuario crea un principal nuevo y desea que se establezca la vigencia de los cupones en el lado del KDC, se almacenan los valores 2147483647 = 2^31-1 en la base de datos de principales. Al visualizar un principal, la CLI y la GUI no deberían mostrar el valor 2147483647 (GUI) o 24855 días 03:14:07 (CLI), sino una cadena más práctica. Este tipo de comprobación ya se lleva a cabo en el caso cuando se imprime la fecha 0 como "Nunca".

4191906: la hora del mensaje de advertencia de caducidad de la credencial puede llevar a equívocos

Descripción:

Si la caducidad del cupón inicial es inferior al umbral de advertencia de /etc/krb5/warn.conf, el mensaje de advertencia que se envía indica que el cupón caducará a la hora especificada en el archivo warn.conf y no a la hora de caducidad del cupón.

4191933: cuando se utiliza kinit con una vigencia menor a 30 minutos, no se almacenan los cupones de servicio en la antememoria de cupones

Descripción:

Cuando un usuario obtiene credenciales (un cupón de obtención de cupones) mediante kinit -l con una vigencia inferior a 30 minutos, todos los cupones de servicio derivados de la credencial no aparecerán en la antememoria de cupones. El motivo de esto es que si una credencial renovable tiene menos de 30 minutos de vida, SEAM intenta renovarla automáticamente para maximizar la facilidad de uso. La renovación de una credencial provoca que se eliminen la credencial anterior y los cupones de servicio derivados. Esto no tiene ninguna otra consecuencia, ya que todas las sesiones creadas mediante el cupón de servicio antiguo tendrán la vigencia del cupón. No invoque a kinit con una opción -l que especifique una vigencia de los cupones inferior a 30 minutos.

4193608: kinit -s tiene algunos problemas

Descripción:

Un usuario no puede utilizar kinit para obtener un cupón con fecha futura con una hora de inicio superior a 19 días a partir de la fecha actual.

4193925: gkadmin: incoherencia del comportamiento de la tecla Intro al crear una norma nueva

Descripción:

Actualmente, después de introducir un nombre de norma en el panel "Detalles de norma" con los valores de parámetros predeterminados, al pulsar la tecla Intro no se crea automáticamente la norma. La tecla Intro debería tener una acción equivalente a hacer clic en el botón Terminar.

4194001: gkadmin: el campo "Último cambio por:" no muestra el nombre completo

Descripción:

El campo "Último cambio por" no muestra el nombre del ejemplar, de forma que los principales admin no se identifican correctamente.

4206443: documentar la vigencia y la negociación de la vigencia renovable en la página del comando man kinit

Descripción:

Cuando un usuario especifica la vigencia en la línea de comandos, la vigencia real del cupón obtenida es menor que:

• El valor especificado en la línea de comandos

• El valor especificado en el archivo de configuración del KDC

• El valor especificado en la base de datos de Kerberos para el principal de servidor; en caso de kinit, se trata de krbtgt/<nombre_ámbito>.

• El valor especificado en la base de datos de Kerberos para el principal de usuario

4210970: gkadmin: el asistente de fecha/hora no cambia el 29 Feb a 28 Feb si se cambia el año

Descripción:

Al cambiar el año en el asistente de fecha/hora no se vuelve a calcular la fecha máxima permitida para ese mes.

4218214: gkadmin: la tecla "Intro" no funciona en los botones resaltados de la GUI

Descripción:

Hacer clic en los botones de la GUI funciona, pero desafortunadamente pulsar la tecla "Intro" en el botón resaltado no funciona.

4220042: "kadmin: add_principal -expire "1/1/2000 7:00am" xhu" no funciona

Descripción:

La opción -expire del comando add_principal de kadmin no funciona cuando se especifica una hora de la mañana. Por ejemplo:

kadmin: add_principal -expire "9/1/1999 7:00am" xhu Especificación de fecha "9/1/1999 7:00am" no válida.

Al utilizar "pm" funciona. Para obtener una hora de mañana, no incluya "am" en la especificación de las horas previas al mediodía. La forma para agregar este principal es:

kadmin: add_principal -expire "9/1/1999 7:00"

4245090: documentar cómo agregar los principales cuando no se utiliza DNS

Descripción:

Los procedimientos de la documentación de SEAM se escribieron basados en el uso de DNS, de forma que todos los principales de sistema y de servicio utilizan nombres de dominio completos. Si no utiliza DNS, no incluya el nombre de dominio al crear los principales. Como ejemplo, kdc1.acme.com sería kdc1.