简介

对于任何业务，备份业务数据都是一项关键的工作。在信息技术中，备份数字数据的过程包括生成数字数据的多个拷贝，以便能够在需要时恢复数据。备份在任何由 IT 支持的业务中都扮演重要的角色，因为备份有助于恢复与业务相关的数据，尤其是在原数据丢失或损坏的情况下。业务数据不可用可能给业务带来巨大的风险，因此数据备份是任何业务连续性或灾难恢复计划的基本部分。

尽管普遍认为数据备份是一个必不可少的业务过程，但是了解哪些数据必须备份以及哪些数据不应该备份也很重要。在基于 IT 的业务解决方案中，需要从它的所有应用程序和软件中识别出可能影响业务的所有关键数据。然后，应该对识别出的关键数据进行备份。信息（尤其是身份验证信息）的安全性是任何基于 IT 的解决方案的关键方面。因此，一定要备份身份验证和相关数据，这应该包含在业务备份计划中。

Kerberos 是一种广泛使用的基于网络的身份验证协议。IBM® Network Authentication Service (IBM NAS) 是 AIX® Expansion Pack CD 附带的 IBM 风格的 Kerberos 实现（参见 参考资料），AIX NFS V4、AIX 集成的 login、openssh、ftp、DB2® 等各种应用程序中都使用它。应用程序还可以通过使用 IBM NAS 导出的接口使用 Kerberos。备份与 IBM NAS 相关的数据对于基于 IBM NAS 的解决方案或使用它提供的身份验证设施非常重要。

本文详细讨论所有包含 IBM NAS 相关数据的文件，并在不同的 IBM NAS 组件中识别出那些需要进行业务数据备份和存档的重要文件。

为什么要备份 IBM NAS 数据？

如果业务解决方案符合以下条件，就一定要考虑备份 IBM Network Authentication Service 数据：

• 在 AIX 上使用支持 Kerberos 的 NFS V4。
• 通过 AIX 使用支持 Kerberos 的 telnet、rlogin 和 SSH。
• 为 AIX 系统启用了 Kerberos 集成的 login。
• 使用支持 Kerberos 的 DB2 数据库。
• 支持 Kerberos 的定制应用程序使用 IBM Network Authentication Service。

对于那些高度依赖于 IBM NAS 或与 IBM NAS 紧密集成的业务解决方案，不备份 IBM NAS 数据可能会导致巨大的业务风险。例如，IBM NAS 身份验证数据丢失或损坏可能导致 AIX NFS V4 等使用 Kerberos 的服务不可用，这进而可能导致 NFS 导出的关键业务数据不可用。还可能导致使用 Kerberos 的 login 服务不可用，因此无法访问运行关键业务逻辑的系统。在最糟糕的情况下，这可能导致整个系统停止运行，对业务产生严重影响。

对于备份 IBM NAS 相关数据，一定要了解各个 IBM NAS 组件中的各个数据文件，并识别出需要备份的那些文件。例如，假设只使用 IBM NAS 作为客户机，而 KDC (Key Distribution Center) 由 Microsoft® Active Directory® 等其他 Kerberos 产品提供，那么从 IBM NAS 的角度来看，只需要备份属于 IBM NAS 客户机的数据。但是，如果使用 IBM NAS 作为客户机和服务器，那么必须考虑备份来自客户机和服务器组件的数据，并且后者尤其重要。本文的后面几节解释与这两个 IBM NAS 组件相关联的数据文件，以此帮助您制订备份计划。

应该备份哪些 IBM NAS 数据？

在准备与 IBM NAS 相关的备份计划时，要备份的数据依赖于 IBM NAS 配置类型（即，Client 或 Server [主 KDC 或从 KDC]）。下面看看各个组件要备份的重要文件：

• IBM NAS 服务器组件：

  备份 IBM NAS 服务器是整个备份计划中最重要的备份活动之一。Kerberos 管理员需要考虑备份以下文件：

  • /etc/krb5/krb5.conf

    这是客户机配置文件，其中包含 Kerberos 设置必需的信息。

  • /etc/krb5/krb5_cfg_type

    这个文件描述这台机器上 IBM NAS 设置的配置类型（主、从或客户机）。

  • /var/krb5/krb5kdc/kdc.conf

    KDC 配置文件包含关于 KDC 的信息；它对于 IBM NAS 服务器守护进程非常重要。

  • /var/krb5/krb5kdc/kadm5.keytab

    管理服务器 (kadmind) keytab 文件包含管理服务器使用的管理主体的密钥。

  • /var/krb5/krb5kdc/kadm5.acl

    ACL 文件存储操作 Kerberos 数据库所用的各个主体及其授权级别。这个文件由管理服务器守护进程使用。

  • /var/krb5/krb5kdc/.k5.<REALM>

    这个文件是 Kerberos 环境中最重要的文件之一。它隐藏 Kerberos 数据库主密码。

  • /var/krb5/krb5kdc/.kdc_ldap_data （只适用于 LDAP 目录）

    只有当 Kerberos 数据库存储在 LDAP 目录（而不是本地文件系统）中时，才会出现这个文件。这个文件存储关于 LDAP 服务器的必要信息。

  • 密码规则和词典文件：

    如果启用了 ‘增强密码强度’ 特性（参见 参考资料 中的相关 developerWorks 文章），那么还要备份密码规则和词典文件。

  • IBM NAS 服务器守护进程的日志文件：

    管理员还可以选择备份 IBM NAS 服务器守护进程的日志文件。这些日志文件包含守护进程的启动信息。除此之外，它们还存储守护进程执行的操作和发生的错误（如果有的话）。

  • Kerberos 数据库：

    最后（但并非不重要），最重要的实体是 Kerberos 主体和策略数据库。可以根据数据库位置（本地文件系统或 LDAP 目录）备份和恢复它。

    • 遗留数据库（本地文件系统）：

      如果 Kerberos 主体和策略信息存储在本地文件系统上，那么使用 “/usr/kb5/sbin/kdb5_util dump <filename>” 命令把数据库内容以加密格式转储到一个文件中。关于这个命令的所有选项的信息，请参见 AIX Version 5.3 Expansion Pack CD 附带的 IBM NAS Version 1.4 Administration Guide。

    • LDAP 目录：

      如果 Kerberos 主体和策略数据库存储在 LDAP 目录中，那么管理员需要使用 LDAP 命令备份 Kerberos 数据库。关于 LDAP 目录备份命令的更多信息，请参见 LDAP 手册。

    这些就是与 IBM NAS 服务器相关的所有重要文件。根据 KDC 配置（主或从）的不同，还有一些差异；例如，从 KDC 没有 /var/krb5/krb5kdc/kadm5.keytab 和 /var/krb5/krb5kdc/kadm5.acl 文件，因为这些文件只由主 KDC 上的 kadmind 守护进程使用。

    不建议备份主机 keytab 文件，这些文件存储主机主体的密钥（比如在使用 Kerberos 的 telnet、NFSv4 等程序中）。如果恶意用户获得了这些密钥信息，那么主机的安全性就很容易受到威胁。另外，创建主机 keytab 文件是非常容易的；因此，不备份这些文件会更安全。如果非常需要备份它们，那么应该用根用户的密码保护这些文件。

• IBM NAS 客户机组件：

  与服务器组件相比，IBM NAS 客户机组件备份需要保护的文件少得多。重要的文件是：

  • /etc/krb5/krb5.conf

    客户机配置文件包含 Kerberos 设置所需的信息。

  • /etc/krb5/krb5_cfg_type

    这个文件决定这台机器上 IBM NAS 设置的配置类型（主、从或客户机）。

备份实体的恢复

恢复是相当容易的。只需把文件复制到相应的位置。但是，对于 Kerberos 数据库恢复，需要特殊对待：

• 遗留数据库（本地文件系统）：

  在这种情况下，使用 “/usr/kb5/sbin/kdb5_util load <filename>” 命令把文件中的数据装载或追加到 Kerberos 数据库中。

  注意：如果已经有一个 Kerberos 数据库，那么 “kdb5_util load” 命令会覆盖现有的数据库。要想把数据追加到现有的数据库中，需要使用 “kdb5_util load -update ” 命令。

• LDAP 目录：

  同样，如果使用 LDAP 目录存储 Kerberos 数据库，那么请参考 LDAP 文档，了解如何恢复数据库。

  注意：在使用 LDAP 目录时，如果在一个 LDAP 服务器实例上备份了 Kerberos 数据库并把它装载到另一个新的 LDAP 服务器实例中，那么新的实例需要与旧的实例进行 “密码同步”，而且应该首先执行这个步骤，甚至应该在启动第二个实例之前执行。关于如何完成这个步骤的信息，请参见 LDAP 文档。

结束语

在本文中，解释了备份 IBM Network Authentication Service 数据的重要性，尤其是在业务解决方案和应用程序依赖于 IBM NAS 的服务的情况下。本文指出了不同 IBM Network Authentication Service 组件中重要的数据文件，Kerberos 管理员或 BCP 计划人员应该考虑备份这些文件。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• 在 IBM Network Authentication Service for AIX 中增强密码强度：讨论 IBM Network Authentication Service for AIX 中的 “增强密码强度” 特性，以及如何在 Kerberos 环境中使用它。
  
  
• Configuring AIX 5L for Kerberos Based Authentication Using IBM Network Authentication Service：阅读这份白皮书，了解如何使用 Kerberos 作为 AIX 的备选身份验证机制。
  
  
• A Kerberos Primer（developerWorks，2001 年 11 月）：这篇文章介绍了 Kerberos 技术和基于分布式计算环境的应用程序。
  
  
• AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。
  
  
• AIX and UNIX 新手入门：访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  
  
• AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。
  
  
• developerWorks 技术活动和网络广播：了解最新的 developerWorks 技术活动和网络广播。
  
  

获得产品和技术

• IBM Network Authentication Service for AIX：从 IBM AIX Web Download Pack Programs 下载 IBM Network Authentication Service for AIX。
  
  
• IBM Network Authentication Service for Linux,Solaris：从这里下载用于 Linux 和 Solaris 的 IBM Network Authentication Service。
  
  
• IBM GUI-based Administration Tool for Network Authentication Service：使用 GUI 执行与 IBM NAS 相关的各种管理任务。立即从 IBM alphaWorks 下载。
  
  
• AIX 5L Expansion Pack and Web Download Pack：现在就开始下载。
  
  

作者简介

Sandeep Ramesh Patil 是 IBM India Software Lab 的软件咨询工程师。他已在 IBM 工作了七年，着重研究分布式技术，包括 DCE、SARPC 以及安全产品，比如 IBM Network Authentication Services (IBM Kerberos)。目前，他正在开发新的特性，并在为 IBM Network Authentication Services 实现与安全有关的 RFC 及其产品支持。Sandeep 拥有 University of Pune，India 的计算机科学与工程学士学位。

Vipin Rathor 已经在 IBM India Software Lab 工作了两年，目前主要从事 IBM Network Authentication Service (IBM Kerberos) 的支持和开发活动。他的研究领域主要包括 Kerberos 和 LDAP 集成、网络安全、身份验证协议和 PKI。

为本文评分

评论

回页首

内容

• 简介
• 为什么要备份 IBM NAS 数据？
• 应该备份哪些 IBM NAS 数据？
• 备份实体的恢复
• 结束语
• 参考资料
• 作者简介
• 建议