凌群電腦THE SYSCOM GROUP

[產品介紹] HPE NonStop資安軟體產品XYPRO(XUA) (下)

作者/張育賓

作者簡歷 作者現職凌群電腦NSK服務總處系統工程師，主要負責HPE NonStop證券、期貨、銀行客戶交易系統維運服務、軟體產品整合服務，專長為HPE NonStop系統整合。前言本期文章將延續上期的內容，針對XUA Module元件進行介紹。 資安軟體產品 XUA Module 元件 XUA是一個TACL Macro，用來掛載XUA TACL功能模組(擴充套件)，此Macro的預設名稱為「XUA」，可以在安裝過程中做修改，XUA module包含以下元件一.LICCHK：LICCHK Program是用來用來顯示有關XUA License的資訊。二.UAACL：此檔案包含NonStop的UserIDs與Safeguard的Alias登入權限，在UAACL檔案中有以下3種類型群組：　1.ACLGroups 　2.TIMEGroups 　3.UAGroups 三.UACONF：此檔案包含用於控制XUA執行的設定，在此檔案中指定的一些設定包括：　1.Audit file location 　2.Ｍode of operation 　3.XUA Process的priority 四.GLOBALAG：GLOABALAG檔案，允許使用者將所有ACLGroups統一列在單一檔案中，這樣一來可在多個XYGATE產品之間共享的ACLGROUPS，從而使維護工作更加容易。五.UAHELP：此檔案提供給Security Administrator或負責維護XUA的人員使用，它包含一份可與XUA搭配使用的Macros清單。此檔案是一個可編輯的檔案，可由維護人員進行自定義的編輯。六.P25F001：此檔案包含Licensing Information，授權內容可透過「XUA_VERSION」Macro顯示，License File必須放在「XYGATEUA」Subvolume裡。七.RSASRV：RSASRV檔案是Proxy Server Process的執行檔，擔任在XUA與RSA Authentication Manager間進行通訊的中介，Proxy Server就是「代理伺服器」，顧名思義，它會代替用戶端去和伺服器溝通。八.RSAREST：RSAREST檔案是Proxy Server Process的執行檔，用來在XUA與RSA Authentication Manager的Web Services Description Language (WSDL)間進行通訊的中介。九.LDAPSRV：LDAPSRV檔案是執行檔，用於作為代理伺服器，負責在XUA與LDAP Server之間進行通訊的中介。十.RADSRV：RADSRV檔案是執行檔，用於作為代理伺服器（Proxy Server），負責在XUA與RADIUS Server之間進行通訊的中介。十一.Testrad：「XUA_EXECUTE_RADIUS_PROXY」Marco會去執行Testrad檔案，這是一個可用來Debug與RADIUS Server連線的Debug Script，它會以互動模式啟動代理程式(RADSRV)。十二.Testldap：「XUA_EXECUTE_LDAP_PROXY」Marco會執行Testldap檔案，是一個可用來測試與LDAP Server連線的Debog Script，它會以互動模式啟動代理程式（LDAPSRV）。十三.Testrsa：「XUA_EXECUTE_RSA_PROXY」Marco會執行Testrsa檔案，這是一個可用來Debug與RSA Authentication Manager連線的Debug Script，它會以互動模式啟動代理程式（RSASRV）。十四.TACLSEG：這個已編譯的TACL segment file包含了XUA Marco用於：　 1.檢查UAACL檔案的語法　 2.在Safeguard中安裝與解除安裝XUA 　 3.產生Authentication Activity的報告十五.XYCERTM：XYCERTM Marco會使用OPENSSL或XYCERT Program，顯示包含一個或多個憑證的檔案中各個憑證的詳細資訊。十六.XYGATEUA：這個Object file是SEEP Server。此Program會回應由 Safeguard發送的登入請求，並在需要時由Safeguard 啟動。此Process的名稱需在安裝時定義。結論 XUA是XYGATE套件中，一個為NonStop系統設計的登入驗證控制Module。它並非用來取代Safeguard子系統，而是在現有帳號與Alias的基礎上，增加更精細的登入規則與Audit功能。藉由REQUESTOR、Ancestor、Port、時間Time等多種條件決定是否允許登入，並且支援多種驗證方式整合包括LDAP、RADIUS、RSA SecurID、多因子驗證 (MFA)等等。 XUA的價值在於讓系統管理員能夠細緻定義誰、在什麼情況下、從哪裡、登入方式，並且確保所有的動作都有完整Audit LOG，同時支援外部安全驗證機制。 參考資料 XYGATE® User Authentication™ (XUA) Reference Manual XYGATE® Merged Audit™ (XMA) Reference Manual XYGATE® Security and Access Control Reference Manual