略過巡覽連結首頁 > 產品與服務 > 技術分享

技術分享

友善列印友善列印

[產品介紹] HPE NonStop資安軟體產品XYPRO(XUA) (下)

作者/張育賓
作者簡歷

作者現職凌群電腦NSK服務總處系統工程師,主要負責HPE NonStop證券、期貨、銀行客戶交易系統維運服務、軟體產品整合服務,專長為HPE NonStop系統整合。

前言

本期文章將延續上期的內容,針對XUA Module元件進行介紹。

資安軟體產品 XUA Module 元件

XUA是一個TACL Macro,用來掛載XUA TACL功能模組(擴充套件),此Macro的預設名稱為「XUA」,可以在安裝過程中做修改,XUA module包含以下元件

一.LICCHK:LICCHK Program是用來用來顯示有關XUA License的資訊。

二.UAACL:此檔案包含NonStop的UserIDs與Safeguard的Alias登入權限,在UAACL檔案中有以下3種類型群組:
 1.ACLGroups
 2.TIMEGroups
 3.UAGroups

三.UACONF:此檔案包含用於控制XUA執行的設定,在此檔案中指定的一些設定包括:
 1.Audit file location
 2.Mode of operation
 3.XUA Process的priority

四.GLOBALAG:GLOABALAG檔案,允許使用者將所有ACLGroups統一列在單一檔案中,這樣一來可在多個XYGATE產品之間共享的ACLGROUPS,從而使維護工作更加容易。

五.UAHELP:此檔案提供給Security Administrator或負責維護XUA的人員使用,它包含一份可與XUA搭配使用的Macros清單。此檔案是一個可編輯的檔案,可由維護人員進行自定義的編輯。

六.P25F001:此檔案包含Licensing Information,授權內容可透過「XUA_VERSION」Macro顯示,License File必須放在「XYGATEUA」Subvolume裡。

七.RSASRV:RSASRV檔案是Proxy Server Process的執行檔,擔任在XUA與RSA Authentication Manager間進行通訊的中介,Proxy Server就是「代理伺服器」,顧名思義,它會代替用戶端去和伺服器溝通。

八.RSAREST:RSAREST檔案是Proxy Server Process的執行檔,用來在XUA與RSA Authentication Manager的Web Services Description Language (WSDL)間進行通訊的中介。

九.LDAPSRV:LDAPSRV檔案是執行檔,用於作為代理伺服器,負責在XUA與LDAP Server之間進行通訊的中介。

十.RADSRV:RADSRV檔案是執行檔,用於作為代理伺服器(Proxy Server),負責在XUA與RADIUS Server之間進行通訊的中介。

十一.Testrad:「XUA_EXECUTE_RADIUS_PROXY」Marco會去執行Testrad檔案,這是一個可用來Debug與RADIUS Server連線的Debug Script,它會以互動模式啟動代理程式(RADSRV)。

十二.Testldap:「XUA_EXECUTE_LDAP_PROXY」Marco會執行Testldap檔案,是一個可用來測試與LDAP Server連線的Debog Script,它會以互動模式啟動代理程式(LDAPSRV)。

十三.Testrsa:「XUA_EXECUTE_RSA_PROXY」Marco會執行Testrsa檔案,這是一個可用來Debug與RSA Authentication Manager連線的Debug Script,它會以互動模式啟動代理程式(RSASRV)。

十四.TACLSEG:這個已編譯的TACL segment file包含了XUA Marco用於:
  1.檢查UAACL檔案的語法
  2.在Safeguard中安裝與解除安裝XUA
  3.產生Authentication Activity的報告

十五.XYCERTM:XYCERTM Marco會使用OPENSSL或XYCERT Program,顯示包含一個或多個憑證的檔案中各個憑證的詳細資訊。

十六.XYGATEUA:這個Object file是SEEP Server。此Program會回應由 Safeguard發送的登入請求,並在需要時由Safeguard 啟動。此Process的名稱需在安裝時定義。

結論

XUA是XYGATE套件中,一個為NonStop系統設計的登入驗證控制Module。它並非用來取代Safeguard子系統,而是在現有帳號與Alias的基礎上,增加更精細的登入規則與Audit功能。藉由REQUESTOR、Ancestor、Port、時間Time等多種條件決定是否允許登入,並且支援多種驗證方式整合包括LDAP、RADIUS、RSA SecurID、多因子驗證 (MFA)等等。

XUA的價值在於讓系統管理員能夠細緻定義誰、在什麼情況下、從哪裡、登入方式,並且確保所有的動作都有完整Audit LOG,同時支援外部安全驗證機制。

參考資料
XYGATE® User Authentication™ (XUA) Reference Manual
XYGATE® Merged Audit™ (XMA) Reference Manual
XYGATE® Security and Access Control Reference Manual

 

回上一頁