备份备份是什么意思

版权所有IBM公司2008商标IBMNetworkAuthenticationServiceforAIX的备份和恢复管理第1页,共6IBMNetworkAuthenticationServiceforAIX的备份和恢复管理SandeepPatil软件工程师EMCVipinRathor系统软件工程师IBM2008年12月08日学习如何在业务连续性计划和其他备份过程中备份重要的Kerberos数据.
在Kerberos生产环境中,对Kerberos数据进行定期的正确的备份,对于确保24x7可靠性和一致性支持非常重要.
本文向Kerberos管理员解释在制订备份计划时要考虑哪些数据.
简介对于任何业务,备份业务数据都是一项关键的工作.
在信息技术中,备份数字数据的过程包括生成数字数据的多个拷贝,以便能够在需要时恢复数据.
备份在任何由IT支持的业务中都扮演重要的角色,因为备份有助于恢复与业务相关的数据,尤其是在原数据丢失或损坏的情况下.
业务数据不可用可能给业务带来巨大的风险,因此数据备份是任何业务连续性或灾难恢复计划的基本部分.

尽管普遍认为数据备份是一个必不可少的业务过程,但是了解哪些数据必须备份以及哪些数据不应该备份也很重要.
在基于IT的业务解决方案中,需要从它的所有应用程序和软件中识别出可能影响业务的所有关键数据.
然后,应该对识别出的关键数据进行备份.
信息(尤其是身份验证信息)的安全性是任何基于IT的解决方案的关键方面.
因此,一定要备份身份验证和相关数据,这应该包含在业务备份计划中.
Kerberos是一种广泛使用的基于网络的身份验证协议.
IBMNetworkAuthenticationService(IBMNAS)是AIXExpansionPackCD附带的IBM风格的Kerberos实现(参见参考资料),AIXNFSV4、AIX集成的login、openssh、ftp、DB2等各种应用程序中都使用它.
应用程序还可以通过使用IBMNAS导出的接口使用Kerberos.
备份与IBMNAS相关的数据对于基于IBMNAS的解决方案或使用它提供的身份验证设施非常重要.
本文详细讨论所有包含IBMNAS相关数据的文件,并在不同的IBMNAS组件中识别出那些需要进行业务数据备份和存档的重要文件.
为什么要备份IBMNAS数据如果业务解决方案符合以下条件,就一定要考虑备份IBMNetworkAuthenticationService数据:developerWorksibm.
com/developerWorks/cn/IBMNetworkAuthenticationServiceforAIX的备份和恢复管理第2页,共6在AIX上使用支持Kerberos的NFSV4.
通过AIX使用支持Kerberos的telnet、rlogin和SSH.
为AIX系统启用了Kerberos集成的login.
使用支持Kerberos的DB2数据库.
支持Kerberos的定制应用程序使用IBMNetworkAuthenticationService.
对于那些高度依赖于IBMNAS或与IBMNAS紧密集成的业务解决方案,不备份IBMNAS数据可能会导致巨大的业务风险.
例如,IBMNAS身份验证数据丢失或损坏可能导致AIXNFSV4等使用Kerberos的服务不可用,这进而可能导致NFS导出的关键业务数据不可用.
还可能导致使用Kerberos的login服务不可用,因此无法访问运行关键业务逻辑的系统.
在最糟糕的情况下,这可能导致整个系统停止运行,对业务产生严重影响.
对于备份IBMNAS相关数据,一定要了解各个IBMNAS组件中的各个数据文件,并识别出需要备份的那些文件.
例如,假设只使用IBMNAS作为客户机,而KDC(KeyDistributionCenter)由MicrosoftActiveDirectory等其他Kerberos产品提供,那么从IBMNAS的角度来看,只需要备份属于IBMNAS客户机的数据.
但是,如果使用IBMNAS作为客户机和服务器,那么必须考虑备份来自客户机和服务器组件的数据,并且后者尤其重要.
本文的后面几节解释与这两个IBMNAS组件相关联的数据文件,以此帮助您制订备份计划.
应该备份哪些IBMNAS数据在准备与IBMNAS相关的备份计划时,要备份的数据依赖于IBMNAS配置类型(即,Client或Server[主KDC或从KDC]).
下面看看各个组件要备份的重要文件:IBMNAS服务器组件:备份IBMNAS服务器是整个备份计划中最重要的备份活动之一.
Kerberos管理员需要考虑备份以下文件:/etc/krb5/krb5.
conf这是客户机配置文件,其中包含Kerberos设置必需的信息.
/etc/krb5/krb5_cfg_type这个文件描述这台机器上IBMNAS设置的配置类型(主、从或客户机).
/var/krb5/krb5kdc/kdc.
confKDC配置文件包含关于KDC的信息;它对于IBMNAS服务器守护进程非常重要.
/var/krb5/krb5kdc/kadm5.
keytab管理服务器(kadmind)keytab文件包含管理服务器使用的管理主体的密钥.
/var/krb5/krb5kdc/kadm5.
aclACL文件存储操作Kerberos数据库所用的各个主体及其授权级别.
这个文件由管理服务器守护进程使用.
/var/krb5/krb5kdc/.
k5.
这个文件是Kerberos环境中最重要的文件之一.
它隐藏Kerberos数据库主密码.
/var/krb5/krb5kdc/.
kdc_ldap_data(只适用于LDAP目录)只有当Kerberos数据库存储在LDAP目录(而不是本地文件系统)中时,才会出现这个文件.
这个文件存储关于LDAP服务器的必要信息.
密码规则和词典文件:如果启用了'增强密码强度'特性(参见参考资料中的相关developerWorks文章),那么还要备份密码规则和词典文件.
ibm.
com/developerWorks/cn/developerWorksIBMNetworkAuthenticationServiceforAIX的备份和恢复管理第3页,共6IBMNAS服务器守护进程的日志文件:管理员还可以选择备份IBMNAS服务器守护进程的日志文件.
这些日志文件包含守护进程的启动信息.
除此之外,它们还存储守护进程执行的操作和发生的错误(如果有的话).

Kerberos数据库:最后(但并非不重要),最重要的实体是Kerberos主体和策略数据库.
可以根据数据库位置(本地文件系统或LDAP目录)备份和恢复它.
遗留数据库(本地文件系统):如果Kerberos主体和策略信息存储在本地文件系统上,那么使用"/usr/kb5/sbin/kdb5_utildump"命令把数据库内容以加密格式转储到一个文件中.
关于这个命令的所有选项的信息,请参见AIXVersion5.
3ExpansionPackCD附带的IBMNASVersion1.
4AdministrationGuide.
LDAP目录:如果Kerberos主体和策略数据库存储在LDAP目录中,那么管理员需要使用LDAP命令备份Kerberos数据库.
关于LDAP目录备份命令的更多信息,请参见LDAP手册.
这些就是与IBMNAS服务器相关的所有重要文件.
根据KDC配置(主或从)的不同,还有一些差异;例如,从KDC没有/var/krb5/krb5kdc/kadm5.
keytab和/var/krb5/krb5kdc/kadm5.
acl文件,因为这些文件只由主KDC上的kadmind守护进程使用.
不建议备份主机keytab文件,这些文件存储主机主体的密钥(比如在使用Kerberos的telnet、NFSv4等程序中).
如果恶意用户获得了这些密钥信息,那么主机的安全性就很容易受到威胁.
另外,创建主机keytab文件是非常容易的;因此,不备份这些文件会更安全.
如果非常需要备份它们,那么应该用根用户的密码保护这些文件.
IBMNAS客户机组件:与服务器组件相比,IBMNAS客户机组件备份需要保护的文件少得多.
重要的文件是:/etc/krb5/krb5.
conf客户机配置文件包含Kerberos设置所需的信息.
/etc/krb5/krb5_cfg_type这个文件决定这台机器上IBMNAS设置的配置类型(主、从或客户机).
备份实体的恢复恢复是相当容易的.
只需把文件复制到相应的位置.
但是,对于Kerberos数据库恢复,需要特殊对待:遗留数据库(本地文件系统):在这种情况下,使用"/usr/kb5/sbin/kdb5_utilload"命令把文件中的数据装载或追加到Kerberos数据库中.
注意:如果已经有一个Kerberos数据库,那么"kdb5_utilload"命令会覆盖现有的数据库.
要想把数据追加到现有的数据库中,需要使用"kdb5_utilload-update"命令.
LDAP目录:同样,如果使用LDAP目录存储Kerberos数据库,那么请参考LDAP文档,了解如何恢复数据库.
注意:在使用LDAP目录时,如果在一个LDAP服务器实例上备份了Kerberos数据库并把它装载到另一个新的LDAP服务器实例中,那么新的实例需要与旧的实例进行"密码同步",而且应该首先执行这个步骤,甚至应该在启动第二个实例之前执行.
关于如何完成这个步骤的信息,请参见LDAP文档.
developerWorksibm.
com/developerWorks/cn/IBMNetworkAuthenticationServiceforAIX的备份和恢复管理第4页,共6结束语在本文中,解释了备份IBMNetworkAuthenticationService数据的重要性,尤其是在业务解决方案和应用程序依赖于IBMNAS的服务的情况下.
本文指出了不同IBMNetworkAuthenticationService组件中重要的数据文件,Kerberos管理员或BCP计划人员应该考虑备份这些文件.
ibm.
com/developerWorks/cn/developerWorksIBMNetworkAuthenticationServiceforAIX的备份和恢复管理第5页,共6参考资料您可以参阅本文在developerWorks全球站点上的英文原文.
在IBMNetworkAuthenticationServiceforAIX中增强密码强度:讨论IBMNetworkAuthenticationServiceforAIX中的"增强密码强度"特性,以及如何在Kerberos环境中使用它.
ConfiguringAIX5LforKerberosBasedAuthenticationUsingIBMNetworkAuthenticationService:阅读这份白皮书,了解如何使用Kerberos作为AIX的备选身份验证机制.
AKerberosPrimer(developerWorks,2001年11月):这篇文章介绍了Kerberos技术和基于分布式计算环境的应用程序.
AIXandUNIX专区:developerWorks的"AIXandUNIX专区"提供了大量与AIX系统管理的所有方面相关的信息,您可以利用它们来扩展自己的UNIX技能.
AIXandUNIX新手入门:访问"AIXandUNIX新手入门"页面可了解更多关于AIX和UNIX的内容.
AIXandUNIX专题汇总:AIXandUNIX专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点.
我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容.