IBM NAS for AIX 中的审计和可服务性管理

简介

自从早期的大型机以来，IBM 一直把审计当作一种重要的活动。审计记录不仅是各种业务过程治理规章的要求，而且对于发现安全问题以及判断入侵的机制和程度也很重要。因此，对于依赖安全性的软件或应用程序，审计设施是必不可少的。

可服务性是任何软件或应用程序的另一个重要方面。它是任何 RAS（可靠性、可用性和可服务性）兼容软件的重要组件。有效的可服务性有助于尽早解决客户报告的问题，这可以提高客户满意度并改进产品支持。

因此，审计和可服务性对于任何软件程序都是极有价值的组件。本文详细讨论 IBM Network Authentication Service for AIX® 的这两个组件。IBM Network Authentication Service (IBM NAS) for AIX 是 Kerberos (IETF RFC 1510) 的 IBM 实现，Kerberos 是最流行、使用最广泛的基于网络的身份验证协议。通过使用 IBM NAS，可以通过网络对用户进行身份验证，从而允许用户访问任何启用 Kerberos 的应用程序，比如 AIX NFS V4、启用 Kerberos 的 DB2® Universal Database®、启用 Kerberos 的 LDAP 等等。本文描述包含重要身份验证审计记录的 IBM NAS 日志文件、它们的含义、启用它们的方法以及把它们转发到客户定义的文件的方法。然后，详细讨论与此产品相关联的可服务性特性、相关联的粒度以及启用它的方法，这有助于管理员提供支持工程师所需的数据。

IBM Network Authentication Service：服务器端日志记录和审计

根据 National Institute of Standards and Technology (NIST) 的 Information Technology Laboratory 发布的 Special Publication (SP) 800-92, Guide to Computer Security Log Management（参见 参考资料）中的定义：“日志是在组织的系统和网络中发生的事件的记录。日志由日志项组成；每个日志项包含在系统或网络中发生的某一事件的相关信息。” 对于 IBM Network Authentication Service 服务器，它的日志项记录与 Kerberos 域中身份验证和 Kerberos 服务票据发布相关的事件。日志包含重要的身份验证和 Kerberos 用户管理记录，提供的信息包括哪个用户来自哪个 IP 地址、事件发生的时间以及向 IBM NAS 服务器发出的请求的类型。它还记录关于请求是否成功的信息。在安全审计和发生安全入侵事件时，这些信息都很重要。因此，一定要了解 AIX 上与 IBM NAS 服务器相关的日志记录特性。