WEB开发网
开发学院操作系统Linux/Unix IBM Network Authentication Service for AIX 的备... 阅读

IBM Network Authentication Service for AIX 的备份和恢复管理

 2009-11-04 00:00:00 来源:WEB开发网   
核心提示: 遗留数据库(本地文件系统):如果 Kerberos 主体和策略信息存储在本地文件系统上,那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中,IBM Network Authe

遗留数据库(本地文件系统):

如果 Kerberos 主体和策略信息存储在本地文件系统上,那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中。关于这个命令的所有选项的信息,请参见 AIX Version 5.3 Expansion Pack CD 附带的 IBM NAS Version 1.4 Administration Guide。

LDAP 目录:

如果 Kerberos 主体和策略数据库存储在 LDAP 目录中,那么管理员需要使用 LDAP 命令备份 Kerberos 数据库。关于 LDAP 目录备份命令的更多信息,请参见 LDAP 手册。

这些就是与 IBM NAS 服务器相关的所有重要文件。根据 KDC 配置(主或从)的不同,还有一些差异;例如,从 KDC 没有 /var/krb5/krb5kdc/kadm5.keytab 和 /var/krb5/krb5kdc/kadm5.acl 文件,因为这些文件只由主 KDC 上的 kadmind 守护进程使用。

不建议备份主机 keytab 文件,这些文件存储主机主体的密钥(比如在使用 Kerberos 的 telnet、NFSv4 等程序中)。如果恶意用户获得了这些密钥信息,那么主机的安全性就很容易受到威胁。另外,创建主机 keytab 文件是非常容易的;因此,不备份这些文件会更安全。如果非常需要备份它们,那么应该用根用户的密码保护这些文件。

IBM NAS 客户机组件:

与服务器组件相比,IBM NAS 客户机组件备份需要保护的文件少得多。重要的文件是:

/etc/krb5/krb5.conf

客户机配置文件包含 Kerberos 设置所需的信息。

/etc/krb5/krb5_cfg_type

这个文件决定这台机器上 IBM NAS 设置的配置类型(主、从或客户机)。

备份实体的恢复

恢复是相当容易的。只需把文件复制到相应的位置。但是,对于 Kerberos 数据库恢复,需要特殊对待:

遗留数据库(本地文件系统):

在这种情况下,使用 “/usr/kb5/sbin/kdb5_util load <filename>” 命令把文件中的数据装载或追加到 Kerberos 数据库中。

注意:如果已经有一个 Kerberos 数据库,那么 “kdb5_util load” 命令会覆盖现有的数据库。要想把数据追加到现有的数据库中,需要使用 “kdb5_util load -update ” 命令。

LDAP 目录:

同样,如果使用 LDAP 目录存储 Kerberos 数据库,那么请参考 LDAP 文档,了解如何恢复数据库。

注意:在使用 LDAP 目录时,如果在一个 LDAP 服务器实例上备份了 Kerberos 数据库并把它装载到另一个新的 LDAP 服务器实例中,那么新的实例需要与旧的实例进行 “密码同步”,而且应该首先执行这个步骤,甚至应该在启动第二个实例之前执行。关于如何完成这个步骤的信息,请参见 LDAP 文档。

结束语

在本文中,解释了备份 IBM Network Authentication Service 数据的重要性,尤其是在业务解决方案和应用程序依赖于 IBM NAS 的服务的情况下。本文指出了不同 IBM Network Authentication Service 组件中重要的数据文件,Kerberos 管理员或 BCP 计划人员应该考虑备份这些文件。

上一页  1 2 3 4 

Tags:IBM Network Authentication

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接