IBM Network Authentication Service for AIX 的备份和恢复管理
2009-11-04 00:00:00 来源:WEB开发网遗留数据库(本地文件系统):
如果 Kerberos 主体和策略信息存储在本地文件系统上,那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中。关于这个命令的所有选项的信息,请参见 AIX Version 5.3 Expansion Pack CD 附带的 IBM NAS Version 1.4 Administration Guide。
LDAP 目录:
如果 Kerberos 主体和策略数据库存储在 LDAP 目录中,那么管理员需要使用 LDAP 命令备份 Kerberos 数据库。关于 LDAP 目录备份命令的更多信息,请参见 LDAP 手册。
这些就是与 IBM NAS 服务器相关的所有重要文件。根据 KDC 配置(主或从)的不同,还有一些差异;例如,从 KDC 没有 /var/krb5/krb5kdc/kadm5.keytab 和 /var/krb5/krb5kdc/kadm5.acl 文件,因为这些文件只由主 KDC 上的 kadmind 守护进程使用。
不建议备份主机 keytab 文件,这些文件存储主机主体的密钥(比如在使用 Kerberos 的 telnet、NFSv4 等程序中)。如果恶意用户获得了这些密钥信息,那么主机的安全性就很容易受到威胁。另外,创建主机 keytab 文件是非常容易的;因此,不备份这些文件会更安全。如果非常需要备份它们,那么应该用根用户的密码保护这些文件。
IBM NAS 客户机组件:
与服务器组件相比,IBM NAS 客户机组件备份需要保护的文件少得多。重要的文件是:
/etc/krb5/krb5.conf
客户机配置文件包含 Kerberos 设置所需的信息。
/etc/krb5/krb5_cfg_type
这个文件决定这台机器上 IBM NAS 设置的配置类型(主、从或客户机)。
备份实体的恢复
恢复是相当容易的。只需把文件复制到相应的位置。但是,对于 Kerberos 数据库恢复,需要特殊对待:
遗留数据库(本地文件系统):
在这种情况下,使用 “/usr/kb5/sbin/kdb5_util load <filename>” 命令把文件中的数据装载或追加到 Kerberos 数据库中。
注意:如果已经有一个 Kerberos 数据库,那么 “kdb5_util load” 命令会覆盖现有的数据库。要想把数据追加到现有的数据库中,需要使用 “kdb5_util load -update ” 命令。
LDAP 目录:
同样,如果使用 LDAP 目录存储 Kerberos 数据库,那么请参考 LDAP 文档,了解如何恢复数据库。
注意:在使用 LDAP 目录时,如果在一个 LDAP 服务器实例上备份了 Kerberos 数据库并把它装载到另一个新的 LDAP 服务器实例中,那么新的实例需要与旧的实例进行 “密码同步”,而且应该首先执行这个步骤,甚至应该在启动第二个实例之前执行。关于如何完成这个步骤的信息,请参见 LDAP 文档。
结束语
在本文中,解释了备份 IBM Network Authentication Service 数据的重要性,尤其是在业务解决方案和应用程序依赖于 IBM NAS 的服务的情况下。本文指出了不同 IBM Network Authentication Service 组件中重要的数据文件,Kerberos 管理员或 BCP 计划人员应该考虑备份这些文件。
Tags:IBM Network Authentication
编辑录入:爽爽 [复制链接] [打 印]- ››IBM WebSphere常见问题解答
- ››IBM WebSphere Studio V5相关认证资料
- ››IBM WebSphere应用服务器发展趋势
- ››IBM WebSphere Application Server诊断和调优(一...
- ››IBM WebSphere Application Server诊断和调优(二...
- ››IBM WebSphere Performance Pack服务器
- ››IBM WebSphere软件概述
- ››IBM PowerVM 实战手册,第 3 部分 : VIO server 配...
- ››IBM PowerVM 实战手册,第 2 部分 : VIO server 准...
- ››IBM p 系列服务器系统固件升级攻略
- ››IBM PowerVM 概述
- ››IBM Systems Director 在 AIX 上的常见问题及解决...
更多精彩
赞助商链接