如果解除一个 CDE 会话的锁定,则所有缓存的 Kerberos 5 版 (krb5) 凭据都可能会被删除。结果是您可能无法访问各种系统公用程序。此问题在以下条件下发生。
在 /etc/pam.conf 文件中,系统的 dtsession 服务在缺省情况下被配置为使用 krb5 模块。
您锁定 CDE 会话,然后尝试解除该会话的锁定。
如果发生此问题,会显示以下错误信息。
锁定屏幕: PAM-KRB5(鉴定): 检验 TGT 与 host/host-name 时出错: 权限被重播缓存代码拒绝 |
解决方法:向 /etc/pam.conf 文件中添加非 pam_krb5 的 dtsession 项。
dtsession auth requisite pam_authtok_get.so.1 dtsession auth required pam_unix_auth.so.1 |
如果在 /etc/pam.conf 文件中设置了这些项,则缺省情况下不会运行 pam_krb5 模块。
临时从 Solaris 9 9/02 操作环境中删除了 CDE 桌面环境中的可移动介质自动运行功能,以减轻潜在的安全问题。
要使用 CD-ROM 或其它可移动介质卷的自动运行功能,必须执行以下操作之一:
从可移动介质文件系统的顶级运行 volstart 程序。
按照 CD 附带的说明,从 CDE 的外部访问。
有关安全问题和修补程序的最新信息,请查阅 SunSolve Web 站点 http://sunsolve.sun.com。无须支持合同便可从 SunSolve 站点得到所有安全修补程序。
在 Solaris 9 9/02 操作环境中,锁定的帐户被视为过期的或不存在的帐户。结果,cron、at 和 batch 公用程序不能调度锁定帐户的作业。
解决方法:要使锁定帐户能够接受 cron、at 或 batch 作业,请用字符串 NP(无密码)替换锁定帐户的密码字段 (*LK*)。