IBM Network Authentication Service for AIX 的备份和恢复管理

核心提示： 遗留数据库（本地文件系统）：如果 Kerberos 主体和策略信息存储在本地文件系统上，那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中，IBM Network Authe

遗留数据库（本地文件系统）：

如果 Kerberos 主体和策略信息存储在本地文件系统上，那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中。关于这个命令的所有选项的信息，请参见 AIX Version 5.3 Expansion Pack CD 附带的 IBM NAS Version 1.4 Administration Guide。

LDAP 目录：

如果 Kerberos 主体和策略数据库存储在 LDAP 目录中，那么管理员需要使用 LDAP 命令备份 Kerberos 数据库。关于 LDAP 目录备份命令的更多信息，请参见 LDAP 手册。

这些就是与 IBM NAS 服务器相关的所有重要文件。根据 KDC 配置（主或从）的不同，还有一些差异；例如，从 KDC 没有 /var/krb5/krb5kdc/kadm5.keytab 和 /var/krb5/krb5kdc/kadm5.acl 文件，因为这些文件只由主 KDC 上的 kadmind 守护进程使用。

不建议备份主机 keytab 文件，这些文件存储主机主体的密钥（比如在使用 Kerberos 的 telnet、NFSv4 等程序中）。如果恶意用户获得了这些密钥信息，那么主机的安全性就很容易受到威胁。另外，创建主机 keytab 文件是非常容易的；因此，不备份这些文件会更安全。如果非常需要备份它们，那么应该用根用户的密码保护这些文件。

IBM NAS 客户机组件：

与服务器组件相比，IBM NAS 客户机组件备份需要保护的文件少得多。重要的文件是：

/etc/krb5/krb5.conf

客户机配置文件包含 Kerberos 设置所需的信息。

/etc/krb5/krb5_cfg_type

这个文件决定这台机器上 IBM NAS 设置的配置类型（主、从或客户机）。

备份实体的恢复

恢复是相当容易的。只需把文件复制到相应的位置。但是，对于 Kerberos 数据库恢复，需要特殊对待：

遗留数据库（本地文件系统）：

在这种情况下，使用 “/usr/kb5/sbin/kdb5_util load <filename>” 命令把文件中的数据装载或追加到 Kerberos 数据库中。

注意：如果已经有一个 Kerberos 数据库，那么 “kdb5_util load” 命令会覆盖现有的数据库。要想把数据追加到现有的数据库中，需要使用 “kdb5_util load -update ” 命令。

LDAP 目录：

同样，如果使用 LDAP 目录存储 Kerberos 数据库，那么请参考 LDAP 文档，了解如何恢复数据库。

注意：在使用 LDAP 目录时，如果在一个 LDAP 服务器实例上备份了 Kerberos 数据库并把它装载到另一个新的 LDAP 服务器实例中，那么新的实例需要与旧的实例进行 “密码同步”，而且应该首先执行这个步骤，甚至应该在启动第二个实例之前执行。关于如何完成这个步骤的信息，请参见 LDAP 文档。

结束语

在本文中，解释了备份 IBM Network Authentication Service 数据的重要性，尤其是在业务解决方案和应用程序依赖于 IBM NAS 的服务的情况下。本文指出了不同 IBM Network Authentication Service 组件中重要的数据文件，Kerberos 管理员或 BCP 计划人员应该考虑备份这些文件。