Sicherheitsfehler

Durch Aufheben der CDE-Bildschirmsperre werden Kerberos v5-Berechtigungsnachweise entfernt (4674474)

Bei der Wiederfreigabe einer gesperrten CDE-Sitzung können alle im Cache befindlichen Berechtigungsnachweise für Kerberos v5 (krb5) gelöscht werden. Danach ist der Zugriff auf verschiedene Systemdienstprogramme nicht mehr möglich. Dieses Problem tirtt unter folgenden Bedingungen auf:

• In der Datei /etc/pam.conf sind die dtsession-Dienste für das System so konfiguriert, dass sie standardmäßig das Modul krb5 verwenden.

• Sie sperren die CDE-Sitzung und versuchen dann, sie wieder zu entsperren.

Wenn dieses Problem auftritt, wird die folgende Fehlermeldung angezeigt:

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/Hostname:
Permission denied in replay cache code

Lösung: Fügen Sie die folgenden pam_krb5-fremden dtsession-Einträge in die Datei /etc/pam.conf ein.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Wenn die Datei /etc/pam.conf diese Einträge enthält, wird das Modul pam_krb5 nicht standardmäßig ausgeführt.

cron, at und batch können Jobs für gesperrte Konten nicht einplanen (4622431)

Im Betriebssystem Solaris 9 4/03 werden gesperrte Konten genau wie nicht vorhandene Konten oder Konten, deren Gültigkeit abgelaufen ist, behandelt. Folglich können die Dienstprogramme cron, at und batch keine Jobs für gesperrte Konten einplanen.

Lösung: Wenn Sie möchten, dass gesperrte Konten cron-, at- oder batch -Jobs akzeptieren, müssen Sie das Passwortfeld der gesperrten Konten ( *LK*) durch die Zeichenkette NP (für "no password", also kein Passwort) ersetzen.