IBM NAS for AIX 中的审计和可服务性管理

核心提示： 了解 IBM NAS 服务器日志记录IBM NAS 服务器基本上划分为两个组件，它们分别提供两个独立的 Kerberos 功能，IBM NAS for AIX 中的审计和可服务性管理(2)，它们是： Key Distribution Center (KDC)，这是 Kerberos 协议的

了解 IBM NAS 服务器日志记录

IBM NAS 服务器基本上划分为两个组件，它们分别提供两个独立的 Kerberos 功能。它们是：

Key Distribution Center (KDC)，这是 Kerberos 协议的核心，负责用户身份验证和发布 Kerberos 票据 [Ticket Granting Ticket (TGT) 和 Ticket Granting Service(TGS)]。此功能由 IBM NAS 服务器守护进程 krb5kdc 执行。

IBM NAS 管理服务器，它负责 Kerberos 管理活动，比如主体、服务、策略等的创建、修改和删除。此功能由 kadmind 服务器守护进程执行。

这两个守护进程是相互独立的，但是它们都执行重要的功能。因此，在默认情况下这两个守护进程与独立的日志记录特性相关联。

krb5kdc 守护进程的日志记录所有与身份验证相关的信息，比如：

启动 KDC 守护进程的时间和它监听的网络端口

哪个用户请求哪种类型的服务票据、请求的时间和用户的 IP 地址

用户请求是否成功

是否有人对某个 Kerberos 主体或服务的密码进行强力尝试

在身份验证握手期间请求的加密类型

在身份验证期间发生的错误的类型（如果有错误的话）

另一方面，kadmind 的日志记录所有管理活动，比如：

启动 kadmind 的时间

执行的管理任务的类型，比如主体/策略的创建/修改/删除

请求任务的管理主体及其 IP 地址

请求的任务是否成功

是否有执行管理任务的错误尝试

作为管理员，一定要分析和监视这两个守护进程的日志。

启用 IBM NAS 服务器日志

IBM NAS 配置文件 krb5.conf（在 /etc/krb5 目录中）的 [logging] 部分包含日志文件的位置和文件名。在默认情况下，krb5.conf 文件的 logging 部分包含以下设置： [logging]　
kdc　=　FILE:/var/krb5/log/krb5kdc.log　
admin_server　=　FILE:/var/krb5/log/kadmin.log　
default　=　FILE:/var/krb5/log/krb5lib.log