安全性錯誤

解除鎖定 CDE 螢幕鎖定會移除 Kerberos 版本 5 憑證 (4674474)

如果解除鎖定某一鎖定的 CDE 階段作業，您所有的快取 Kerberos 版本 5 (krb5) 憑證可能會被移除。其結果是您可能不能存取多種系統公用程式。這個問題可能會出現在下列情況下。

• 在 /etc/pam.conf 檔案中，您系統的 dtsession 服務依預設配置為使用 krb5 模組。

• 鎖定您的 CDE 階段作業，然後嘗試解除階段作業的鎖定。

如果發生此問題，系統會顯示以下錯誤訊息。

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/host-name:
Permission denied in replay cache code

解決方法：向 /etc/pam.conf 檔案中加入下列非 pam_krb5 dtsession 項目。

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

/etc/pam.conf 檔案中包含有這些項目時，依預設， pam_krb5 模組不會執行。

CDE 可移除式媒體自動執行功能已從 Solaris 9 9/02 作業環境中移除 (4483353)

CDE 桌面環境中的可移除式媒體自動執行功能已暫時從 Solaris 9 9/02 作業環境中移除，以減輕潛在的安全性問題。

若要使用 CD-ROM 或其他可移除式媒體容體的自動執行功能，您必須執行以下操作之一：

• 從可移除媒體檔案系統最上層執行 volstart 程式。

• 遵循 CD 隨附的說明，以便從 CDE 之外存取。

如需安全性問題和修補程式的最新資訊，請造訪位於 http://sunsolve.sun.com 的 SunSolve 網站。 所有安全性修補程式都可在不需任何支援合約情況下於 SunSolve 網站取得。

cron、at 以及 batch 不能為鎖定帳戶排定 (4622431)

Solaris 9 9/02 作業環境會將已鎖定帳戶當作逾期或不存在帳戶處理。其結果是， cron、at 以及 batch 公用程式不能在鎖定帳戶上排定工作。

解決方法： 若要讓已鎖定帳戶接受 cron、at 或 batch 工作，請將已鎖定帳戶的密碼欄位 (*LK*) 變更成字串 NP（意思是無密碼）。