IBM NAS for AIX 中的审计和可服务性管理

核心提示： logging 部分中的 kdc 关系指向由 krb5kdc 守护进程记录的文件，而 admin_server 关系指向由 kadmind 守护进程记录的文件，IBM NAS for AIX 中的审计和可服务性管理(3)，在默认情况下，KDC 日志写到 /var/krb5/log/krb5

logging 部分中的 kdc 关系指向由 krb5kdc 守护进程记录的文件，而 admin_server 关系指向由 kadmind 守护进程记录的文件。在默认情况下，KDC 日志写到 /var/krb5/log/krb5kdc.log，Kerberos 管理日志写到 /var/krb5/log/kadmin.log，管理员可以把它们改为任何日志文件。'default' 关系指向的日志文件指定在缺少前两个设置的情况下如何执行日志记录。

如果对 krb5.conf 文件的 logging 部分做了任何修改，管理员就需要重新启动 IBM NAS 守护进程，这样修改才会生效。

甚至可以把这两个服务器日志记录到 syslog，而不是直接写到文件。详细信息请参见 AIX expansion pack CD 上产品附带的 IBM Network Authentication Service Version 1.4 Administrator's and User's Guide 的第 8 章。

示例日志记录

下面的 KDC 日志记录表明，来自 TEST.IN.IBM.COM 域的 sandeep 用户请求 NFS 服务的 TGS，此用户的 IP 地址是 9.182.192.36，NFS 服务在 aixdce3.in.ibm.com 机器上运行，请求的时间是 ul 07 01:33:53，加密列表是 {16 23 18 3 1 17}（加密列表中的每个数字代表一个加密类型）。

Jul　07　01:33:53　aixdce3.in.ibm.com　/usr/krb5/sbin/krb5kdc[13668](info):　TGS_REQ　(6　etypes　
{16　23　18　3　1　17})9.182.192.36(88):　ISSUE:　authtime　1215408791,　etypes　{rep=16　tkt=16　
ses=16},　sandeep@TEST.IN.IBM.COM　for　nfs/aixdce3.in.ibm.com@TEST.IN.IBM.COM:　

下面的 KDC 日志项表明，来自 IP 地址 9.182.192.36 的 johan 用户请求一个 TGT，请求的时间是 Jul 07 02:05:17，加密列表是 {16 23 18 3 1 17}，但是使用了错误的密码。因此，这导致错误 Decrypt integrity check failed。