AIX 6.1 上最新的 IBM Network Authentication Service

核心提示： 为了满足这种需求，IBM NAS 1.4.0.8 增加了对加密的 LDAP 绑定密码的支持，AIX 6.1 上最新的 IBM Network Authentication Service(4)，ksetup 命令增加了 -c 标志（c 代表 “cipher”），管理员可以

为了满足这种需求，IBM NAS 1.4.0.8 增加了对加密的 LDAP 绑定密码的支持，ksetup 命令增加了 -c 标志（c 代表 “cipher”）。管理员可以使用这个标志对绑定密码进行加密并把密文放在 .kdc_ldap_data 配置文件中。这可以避免保存明文密码，同时又不妨碍可信的 NAS 服务器访问 LDAP 绑定密码。

ksetup 的用法如下：

ksetup　-c　(string_to_encrypt)　
#　ksetup　-c　"Password　of　Ldap　Bind"
　
　　　{DES}202FEBC2　875　C4F69F2B8F8935A76B28678241B6C904AC87BD7278BC0F1D456　

IBM NAS 1.4.0.8 Readme 文档中提供了对这个命令用法的详细解释和示例，可以通过 IBM AIX Web Download Pack Programs 获得此文档。因此，如果您的 AIX Kerberos 基础结构使用 LDAP 插件并以明文格式存储绑定密码，现在应该考虑通过升级来保护它。

IBM Network Authentication Service 守护进程的循环日志

管理员肯定不希望服务器的重要分区耗尽空间。服务器有许多不断增长的日志和审计文件，需要管理它们，防止它们耗尽服务器上的重要空间。IBM NAS 服务器也有相关联的日志和审计文件。IBM NAS 1.4.0.8 让管理员可以更好地管理这些日志文件，不但可以防止它们增长，还有助于制定备份计划。

IBM NAS 1.4.0.8 和更高版本在 /etc/krb5/krb5.conf 文件中引入了新的关系，它可以为服务器日志文件启用循环日志（默认情况下日志文件放在 /var/krb5/log 文件夹中）。新关系 “max_log_size” 和 “keep_old_logs” 出现在 IBM NAS AIX 服务器机器的 /etc/krb5/krb5.conf 文件中的 [logging] 小节下面。管理员可以使用 “max_log_size” 指定日志文件可以增长到的最大大小（以 MB 为单位）。“keep_old_logs” 指定希望保留的旧日志/审计文件的数量，超过这个数量之后旧文件会被清除（管理员可以把旧文件备份到其他持久化备份存储）。

例如：

#　cat　/etc/krb5/krb5.conf　
...　
[logging]　
max_log_size　=　10　
keep_old_logs　=　5　
...　

在 IBM NAS AIX 服务器机器上设置时，这个示例把服务器的日志文件大小限制为 10MB，最多保留 5 个旧日志文件。可以在 IBM NAS 1.4.0.8 Readme 中找到关于这个特性的详细信息（比如相关联的默认值等），可以通过 IBM AIX Web Download Pack Programs 获得此文档。

结束语

本文讨论了 IBM NAS 1.4.0.8 version for AIX 提供的主要特性，以及它对基于 AIX 的现有解决方案和 Kerberos 产品可能产生的影响。AIX 管理员应该考虑升级到 IBM NAS 1.4.0.8 或更高版本。