配置 DS Network Interface服务器以实施 NIST SP 800-131A

您可配置 DS Network Interface服务器来执行 NIST SP 800-131A 安全规范。

如果必须在 DS Network Interface服务器上执行 NIST SP 800-131A 安全合规性，请完成以下步骤：

1. 将 DS Network Interface服务器安全级别设置为 NIST SP 800-131A 之前，请将通过 DS Network Interface服务器连接到 DS8880 的所有外部应用程序更新为符合 NIST SP 800-131A 的版本。 其中的大多数应用程序仍将能够在适当时与旧系统进行通信。因此，升级这些应用程序将不会丢失连接。要获取更多详细信息，请查看有关更新 DS Network Interface客户机、加密密钥服务器和远程认证服务器的信息。
2. 如果激活了本地认证策略，请完成以下步骤：
   1. 在 DS CLI 中，使用 manageaccess 命令将 DS Network Interface服务器上的安全级别设置为 800131a

      dscli> manageaccess -ctrl ni -action setsecurity -level 800131a

   2. 在 DS CLI 中使用 testauthpol 命令验证任何远程认证策略。为新策略中具有管理员角色的用户的用户名和密码设置 -username 和 -pw 值。如果成功，将指示 DS8880 可通过 NIST SP 800-131A 协议连接到远程认证服务器。

      dscli> testauthpol -username admin -pw admin_password

3. 如果激活了远程认证策略，请完成以下步骤：
   1. 使用 DS CLI 中的激活认证策略功能，激活本地认证策略。
   2. 在 DS CLI 中，使用 manageaccess 命令将 DS Network Interface服务器上的安全级别设置为 TLS 1.2。

      dscli> manageacess -ctrl ni -action setsecurity -level 800131a

   3. 在 DS CLI 中使用 testauthpol 命令验证任何远程认证策略。为新策略中具有管理员角色的用户的用户名和密码设置 -username 和 -pw 值。如果成功，将指示 DS8880 可通过 NIST SP 800-131A 协议连接到远程认证服务器。

      dscli> testauthpol -username admin -pw admin_password

   4. 使用 DS CLI 中的激活认证策略功能，激活原始远程认证策略。
4. 验证受影响的网络实体是否可运行。
   1. 验证是否至少有一个 DS CLI 客户机可运行。
      1. 如果激活了远程认证策略，请尝试使用 DS CLI 登录，以确保用户帐户认证成功。如果更新了 NIST SP 800-131A 安全合规性的远程认证策略，那么认证验证已完成。
      2. 使用 lskeymgr 命令查看加密密钥服务器状态。
   2. 验证所有其他应用程序，包括所有其他 DS Network Interface客户机是否可运行。
5. 当激活 DS Network Interface服务器上的 NIST SP 800-131A 安全合规性时，如果未完全更新任何客户机或服务器，那么将丢失到那些实体的网络连接。在该情况下，完成进一步更新的同时，必须将 DS Network Interface服务器的安全级别重新设置为旧设置，以恢复访问权限。请参阅以下方案，以获取相应的解决方案：
   • 如果加密密钥客户机在 4 小时或更长时间中无法与加密密钥服务器进行通信，那么加密密钥客户机将生成 SNMP 陷阱。丢失对加密密钥服务器的访问权限不会造成大的影响，除非关闭再打开电源，这样将无法访问所有加密密钥服务器。在这种情况下，使用恢复密钥将存储器映像恢复为可运行状态。
   • 使用本地认证策略且未认证任何用户。当正常运行的程序（如 DS CLI、IBM Spectrum Control™ 和 IBM Copy Services Manager）停止工作时，将检测到该情况。通过完成以下步骤，使用 DS CLI 进行恢复：
     1. 验证 DS CLI 版本是否来自许可机器代码 V7.2 或更高版本。从命令行输入 dscli -ver。无需连接到 DS8880，该命令便可显示 DS CLI 版本。该版本为点分十进制格式，其中第二和第三个数字为发行版号。例如，V7.7.20.524 为 LMC V7.2。
        • 如果显示的版本为 V7.2 或更高版本，那么 DS CLI 支持连接到符合 NIST SP 800-131A 安全准则的 DS8880。
        • 如果显示的版本为 V7.1.x 或更低版本，那么请安装 DS CLI V7.2 或更高版本。DS CLI 版本应该与许可机器代码版本一样。
          注： V7.0.5 在版本号中显示为 7.5。
     2. 验证 DS CLI 是否通过支持 TLS 1.2 的 Java 版本安装。
        1. 在安装 DS CLI 的目录中，搜索 DS CLI 配置文件 <dscli_installation_directory>/lib/CLI.CFG，以查找以 JAVA_INSTALL 开始的行。此命令将显示 DS CLI 使用的 Java 版本。
        2. 在由 JAVA_INSTALL 条目指定的目录中，输入 bin/java -version 以显示 Java 版本。
        3. 您可能需要咨询 Java 供应商，以确定您的版本是否支持 TLS 1.2。
           以下示例显示支持 TLS 1.2 协议的 IBM Java for Windows 和 IBM Java for Linux 的实例：

           C:\>bin\java -version
           java version "1.6.0"
           Java(TM) SE Runtime Environment (build pwi3260sr13fp2-20130424_01(SR13 FP2))

           # bin/java -version
           java version "1.6.0"
           Java(TM) SE Runtime Environment (build pxi3260sr14-20130705_01(SR14))

           在以上示例中，Java for Windows 为 V1.6.0 SR13 FP2，Java for Linux 为 V1.6.0 SR14。以上这两个版本支持 TLS 1.2 协议。
        4. 如果 Java 版本不支持 TLS 1.2，那么请卸载然后重新安装 DS CLI，指定支持 TLS 1.2 协议的 Java 版本。安装 DS CLI时，请参阅联机文档中有关纠正 Java 虚拟机未发现错误部分中的 LAX_VM 选项。
     3. 完成前两个步骤中所需的纠正之后，DS CLI 应能够连接到 DS8880。在 DS CLI 中使用 manageaccess 命令将安全级别设置回 800131a。

        dscli> manageaccess -ctrl ni -action setsecurity -level 800131a

   • 使用远程认证策略且未认证任何用户。当正常运行的程序（如 DS CLI、IBM Spectrum Control 和 IBM Copy Services Manager）无法连接到 DS8880 时，将检测到该情况。通过完成以下步骤，使用 DS CLI 进行恢复：
     1. 使用 DS 服务 GUI 中的客户服务帐户重置硬件管理控制台 (HMC)。该操作将重新激活缺省管理用户标识和本地认证策略的缺省值。
        1. 选择 HMC 管理 > 开始/停止 ESSNI。
        2. 在安全恢复选件下，单击重置。 该操作将重新激活缺省存储管理员和安全性管理员用户标识（admin 和 secadmin）、设置缺省密码（admin 和secadmin），并激活本地认证策略。
     2. 遵循“使用本地认证策略且未认证任何用户。”过程中的前三个步骤，将安全级别恢复为旧设置。您必须更改存储管理员用户标识 (admin) 的密码，之后才能使用第三步中的 manageaccess 命令。
     3. 使用 DS CLI chauthpol 命令以及 -activate 参数来激活之前的远程认证策略。