Solaris 9 4/04 リリースのセキュリティに関するバグ情報について説明します。
CDE セッションのロックを解除すると、キャッシュされている Kerberos Version 5 (krb5) の資格がすべて削除されることがあります。その結果、さまざまなシステムユーティリティにアクセスできなくなることがあります。この問題は次の場合に起こります。
/etc/pam.conf ファイルにおいて、当該システム用の dtsession サービスがデフォルトで krb5 モジュールを使用するように構成されている。
CDE セッションをロックした後、そのセッションのロックを解除しようとした。
この問題が発生した場合、次のエラーメッセージが表示されます。
lock screen: PAM-KRB5 (auth): Error verifying TGT with host/host-name: Permission denied in replay cache code |
回避方法: 次の pam_krb5 dtsession のエントリを /etc/pam.conf ファイルに追加してください。
dtsession auth requisite pam_authtok_get.so.1 dtsession auth required pam_unix_auth.so.1 |
上記エントリが /etc/pam.conf ファイルに存在すると、pam_krb5 モジュールはデフォルトで実行されません。
Solaris 9 4/04 リリースで、ロックされたアカウントは期限切れのアカウントまたは存在しないアカウントと同様に処理されます。したがって、ロックされたアカウントに対して、cron、at、および batch ユーティリティでジョブをスケジュールすることはできません。
回避方法 : ロックされたアカウントが cron、at、または batch ジョブを受け付けるようにするには、ロックされたアカウントのパスワードフィールド (*LK*) を NP (パスワードなしの意味) という文字列に置き換えます。