Problemi di sicurezza

Lo sblocco dello schermo del CDE rimuove le credenziali Kerberos Versione 5 (4674474)

Se si sblocca una sessione bloccata del CDE, le credenziali di Kerberos Versione 5 (krb5) memorizzate nella cache vengono rimosse e si perde la possibilità di accedere a varie utility di sistema. Il problema si verifica nelle seguenti condizioni.

• Nel file /etc/pam.conf, i servizi dtsession del sistema sono configurati per usare automaticamente il modulo krb5.

• La sessione del CDE viene bloccata e quindi si cerca di sbloccarla.

Se si verifica questo problema, viene visualizzato il seguente messaggio di errore.

lock screen: PAM-KRB5 (auth): Errore nella verifica del TGT con 
l'host/nome-host:
Autorizzazione negata nel codice della cache replicata

Soluzione: Aggiungere le seguenti voci di dtsession non associate al modulo pam_krb5 al file /etc/pam.conf.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Con queste voci nel file /etc/pam.conf, il modulo pam_krb5 non viene eseguito automaticamente.

Il daemon del server dell'Agenda del CDE esaurisce i descrittori di file (4641721)

Il daemon del server dell'Agenda del CDE (rpc.cmsd) esaurisce i descrittori di file. Se si verifica questo problema, l'Agenda viene visualizzata ma non è possibile aggiungere nuovi appuntamenti. Compare un messaggio che segnala un errore non identificato.

Soluzione: Scegliere una delle soluzioni seguenti.

• Se si verifica questo problema, procedere come segue.

  1. Diventare superutente sul server dell'Agenda.

  2. Arrestare il daemon del server dell'Agenda.

     # pkill rpc.cmsd

     ---

     Nota -

     Nella configurazione predefinita, il servizio rpc.cmsd è abilitato nel file /etc/inetd.conf e non necessita di essere riavviato. Se il servizio rpc.cmsd è disabilitato sul server dell'Agenda, è necessario riavviarlo dopo l'arresto del processo del daemon.

     ---

• Per evitare questo problema, applicare la patch con ID 112617-01.

  ---

  Nota -

  Per le patch realizzate per le release precedenti di Solaris, accedere al sito Web di SunSolve^SM all'indirizzo http://sunsolve.sun.com.

  ---

La funzionalità di esecuzione automatica della Gestione supporti removibli del CDE è stata rimossa dall'ambiente operativo Solaris 9 (4483353)

La funzionalità di esecuzione automatica della Gestione supporti removibli del CDE è stata temporaneamente rimossa dall'ambiente operativo Solaris 9 per evitare possibili problemi di sicurezza.

Per usare questa funzionalità per un CD-ROM o un altro supporto removibile, procedere in uno dei modi seguenti:

• Eseguire il programma volstart dal primo livello del file system del supporto removibile

• Seguire le istruzioni incluse nel CD per l'accesso senza il CDE

Per informazioni aggiornate sui problemi di sicurezza e le relative patch, accedere al sito Web di SunSolve all'indirizzo http://sunsolve.sun.com . Le patch relative alla sicurezza sono disponibili sul sito di SunSolve senza bisogno di un contratto di supporto.

I processi cron, at e batch non permettono di pianificare attività per gli account bloccati (4622431)

Nell'ambiente operativo Solaris 9, gli account bloccati vengono trattati come quelli scaduti o inesistenti. Di conseguenza, le utility cron, at e batch non permettono di pianificare le attività per gli account bloccati.

Soluzione: Per abilitare la pianificazione delle attività per gli account bloccati con le utility cron, at e batch, sostituire il campo della password dell'account bloccato (*LK*) con la stringa NP (che equivale a nessuna password).