安全错误

解除 CDE 屏幕锁的锁定时会删除 Kerberos 5 版凭据 (4674474)

如果解除一个 CDE 会话的锁定，则所有缓存的 Kerberos 5 版 (krb5) 凭据都可能会被删除。结果是您可能无法访问各种系统公用程序。此问题在以下条件下发生。

• 在 /etc/pam.conf 文件中，系统的 dtsession 服务在缺省情况下被配置为使用 krb5 模块。

• 您锁定 CDE 会话，然后尝试解除该会话的锁定。

如果发生此问题，会显示以下错误信息。

锁定屏幕: PAM-KRB5（鉴定）: 检验 TGT 与 
host/host-name 时出错: 
权限被重播缓存代码拒绝

解决方法：向 /etc/pam.conf 文件中添加非 pam_krb5 的 dtsession 项。

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

如果在 /etc/pam.conf 文件中设置了这些项，则缺省情况下不会运行 pam_krb5 模块。

Solaris 9 9/02 操作环境中删除了 CDE 可移动介质自动运行功能 (4483353)

临时从 Solaris 9 9/02 操作环境中删除了 CDE 桌面环境中的可移动介质自动运行功能，以减轻潜在的安全问题。

要使用 CD-ROM 或其它可移动介质卷的自动运行功能，必须执行以下操作之一：

• 从可移动介质文件系统的顶级运行 volstart 程序。

• 按照 CD 附带的说明，从 CDE 的外部访问。

有关安全问题和修补程序的最新信息，请查阅 SunSolve Web 站点 http://sunsolve.sun.com。无须支持合同便可从 SunSolve 站点得到所有安全修补程序。

cron、at 和 batch 不能为锁定的帐户调度作业 (4622431)

在 Solaris 9 9/02 操作环境中，锁定的帐户被视为过期的或不存在的帐户。结果，cron、at 和 batch 公用程序不能调度锁定帐户的作业。

解决方法：要使锁定帐户能够接受 cron、at 或 batch 作业，请用字符串 NP（无密码）替换锁定帐户的密码字段 (*LK*)。