Sicherheitsfehler

Durch Aufheben der CDE-Bildschirmsperre werden Kerberos v5-Berechtigungsnachweise entfernt (4674474)

Bei der Wiederfreigabe einer gesperrten CDE-Sitzung können alle im Cache befindlichen Berechtigungsnachweise für Kerberos v5 (krb5) gelöscht werden, und der Zugriff auf verschiedene Systemdienstprogramme ist nicht mehr möglich. Dieses Problem tirtt unter folgenden Bedingungen auf:

• In der Datei /etc/pam.conf sind die dtsession-Dienste für das System so konfiguriert, dass sie standardmäßig das Modul krb5 verwenden.

• Sie sperren die CDE-Sitzung und versuchen dann, sie wieder zu entsperren.

Wenn dieses Problem auftritt, wird die folgende Fehlermeldung angezeigt:

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/Hostname:
Zugriff auf Wiedergabe-Cache verweigert

Lösung: Fügen Sie die folgenden pam_krb5-fremden dtsession-Einträge in die Datei /etc/pam.conf ein.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Wenn die Datei /etc/pam.conf diese Einträge enthält, wird das Modul pam_krb5 nicht standardmäßig ausgeführt.

Dem CDE-Kalenderserver-Dämon stehen unter Umständen zu wenig Dateideskriptoren zur Verfügung (4641721)

Dem CDE-Kalenderserver-Dämon (rpc.cmsd) stehen unter gewissen Umständen möglicherweise nicht genug Dateideskriptoren zur Verfügung. In diesem Fall können Kalender-Benutzer zwar weiterhin ihre Kalender einsehen, aber keine neuen Termine mehr eintragen. Die Fehlermeldung Unbekannter Fehler wird angezeigt.

Lösung: Wählen Sie eine der folgenden Problemlösungen:

• Wenn das Problem bereits aufgetreten ist, gehen Sie wie folgt vor:

  1. Melden Sie sich beim Kalenderserver als superuser an.

  2. Brechen Sie den Kalenderserver-Dämon ab.

     # pkill rpc.cmsd

     ---

     Hinweis -

     Der Dienst rpc.cmsd ist in der Datei /etc/inetd.conf standardmäßig aktiviert und muss nicht neu gestartet werden. Sollte der Dienst rpc.cmsd auf dem Kalenderserver deaktiviert sein, so müssen Sie den Dämon rpc.cmsd, nachdem Sie den Dämonprozess abgebrochen haben, neu starten.

     ---

• Zur Vermeidung dieses Problems installieren Sie Patch 112617-01.

  ---

  Hinweis -

  Informationen über Patches für ältere Versionen des Betriebssystems Solaris finden Sie auf der SunSolve^SM-Website unter http://sunsolve.sun.com.

  ---

CDE-Funktion zur automatischen Ausführung von Wechseldatenträgern ist in Solaris 9 nicht vorhanden (4483353)

Die Funktion für die automatische Ausführung von Wechseldatenträgern wurde zur Reduzierung potenzieller Sicherheitsprobleme vorübergehend aus der Desktop-Umgebung CDE für das Betriebssystem Solaris 9 entfernt.

Wenn Sie die automatische Ausführung für CDs oder andere Wechseldatenträger verwenden möchten, nehmen Sie einen der folgenden Schritte vor:

• Führen Sie in der obersten Ebene des Dateisystems auf dem Wechseldatenträger das Programm volstart aus.

• Befolgen Sie die mit der CD gelieferten Anweisungen für den Zugriff von außerhalb der Desktop-Umgebung CDE.

Die aktuellsten Informationen zu Sicherheitsproblemen und Patches entnehmen Sie bitte der SunSolve-Website unter http://sunsolve.sun.com . Alle Sicherheitspatches können ohne Support-Vertrag von der SunSolve-Website heruntergeladen werden.

cron, at und batch können Jobs für gesperrte Konten nicht einplanen (4622431)

Im Betriebssystem Solaris 9 werden gesperrte Konten genau wie nicht vorhandene Konten oder Konten, deren Gültigkeit abgelaufen ist, behandelt. Folglich können die Dienstprogramme cron, at und batch keine Jobs für gesperrte Konten einplanen.

Lösung: Wenn Sie möchten, dass gesperrte Konten cron-, at- oder batch -Jobs akzeptieren, müssen Sie das Passwortfeld der gesperrten Konten ( *LK*) durch die Zeichenkette NP (für ,,no password", also kein Passwort) ersetzen.