0 より前のメディアサーバーおよびクライアントマシンのア クセス制御の構成クセス制御の構成

NetBackup 7.0 より前のメディアサーバーおよびクライアントマシンのアクセス制御を構 成できます。

第 4 章 アクセス制御のセキュリティ 195 NBAC のインストールおよび構成

NetBackup 7.0 より前のメディアサーバーおよびクライアントマシンのアクセス制御を構 成するには、次の手順を実行します。

1 認証および認可のクライアントパッケージをターゲットマシンにインストールします。

ターゲットマシンが NetBackup クライアントの場合は、認証クライアントのみをインス トールします。ターゲットマシンが NetBackup メディアサーバーの場合は、認証と認 可の両方のクライアントをインストールします。

クライアントバイナリとサーバーバイナリの両方をターゲットマシンにインストールする ことを選択できますが、サーバーを構成する必要はありません。以前の NetBackup メディアに付属のインフラストラクチャ共通サービス DVD (ICS) に収録された認証と 認可のパッケージをインストールする必要があります。NetBackup 7.0 に付属の認 証と認可のバイナリは、以前の NetBackup メディアサーバーやクライアントと互換性 がない場合があります。

UNIX プラットフォームでは、installics ユーティリティを使って、認証と認可のパッ

ケージをインストールします。

Windows では、VxSSVRTSatSetup.exe および VRTSazSetup.exe を使います。

認証と認可のクライアントのインストール方法について詳しくは、以前の NetBackup のマニュアルを参照してください。

2 ターゲットのメディアサーバーまたはクライアントマシンのクレデンシャルを設定しま す。

■ root (UNIX) またはローカルの管理者グループのメンバー (Windows) としてマ

スターサーバーにログオンします。

■ マスターサーバーで認証サービスおよび認可サービスが実行されていることを 確認します。

■ マスターサーバーで次のコマンドを実行することにより、ターゲットのメディアサー バーまたはクライアントマシンのマシンアカウントを作成します。

UNIX では、bpnbat は /usr/openv/netbackup/bin ディレクトリにあります。

Windows では、bpnbat は Install_path¥NetBackup¥bin ディレクトリにあり ます。

bpnbat -addmachine

Machine Name: host.domain.com Password: *******

Password: *******

Operation completed successfully.

■ root (UNIX) またはローカルの管理者グループのメンバー (Windows) として

ターゲットのメディアサーバーまたはクライアントマシンにログオンし、次のコマン ドを実行します。

第 4 章 アクセス制御のセキュリティ NBAC のインストールおよび構成 196

bpnbat -loginmachine

Does this machine use Dynamic Host Configuration Protocol (DHCP)? (y/n)? n

Authentication Broker: master.server.com Authentication port [Enter = default]:

Machine Name: local.host.name --> Note: This should be the same value entered in the previous step.

Password: *******Operation completed successfully.

メモ: メディアサーバーまたはクライアントマシンで使用されるエイリアスまたはホスト 名ごとに、手順 2 を繰り返します。

3 認証サーバーからターゲットのメディアサーバーホストへのアクセスを有効にします。

メモ: この手順は、NetBackup メディアサーバーのみに必要とされ、クライアントマシ ンでは必要ありません。

■ root (UNIX) またはローカルの管理者グループのメンバー (Windows) としてマ

スターサーバーマシンにログオンします。

UNIX では、bpnbaz は /usr/openv/netbackup/bin/admincmd ディレクトリ にあります。

Windows では、bpnbaz は Install_path¥NetBackup¥bin¥admincmd ディ レクトリにあります。

■ 次のコマンドを実行します。

bpnbaz -AllowAuthorization media.server.com Operation completed successfully

4 ターゲットメディアサーバーまたはクライアントホストの［アクセス制御 (Access Control)］

ホストプロパティを適切に設定します。

メディアサーバーの場合、マスターサーバーおよびメディアサーバーのホストプロパ ティに関する項を参照してください。クライアントの場合、クライアントのホストプロパ ティに関する項を参照してください。

5 ターゲットのメディアサーバーまたはクライアントマシンの NetBackup プロセスを再 起動します。

第 4 章 アクセス制御のセキュリティ 197 NBAC のインストールおよび構成

［アクセス制御 (Access Control)］ホストプロパティの手動構成

メモ: この構成を自動で実行するには、bpnbaz -setupClient コマンド、bpnbaz -setupMedia コマンドおよび bpnbaz -setupMaster コマンドを実行します。この構成 が必要になるのは、デフォルトを変更する場合やブローカーを追加する場合のみです。

また、下位リビジョンのメディアサーバーやクライアントホストの場合にも実行します。

以降の項は、［アクセス制御 (Access Control)］ホストプロパティを手動で構成する場合 に参照してください。

メモ: クライアントでアクセス制御の構成が完了するまでは、マスターサーバーの［Symantec Product Authentication Service］および［Symantec Product Authorization Service］

プロパティを［自動 (Automatic)］に設定しておく必要があります。その後、マスターサー バーの［Symantec Product Authentication Service］および［Symantec Product Authorization Service］プロパティを［必須 (Required)］に変更します。

NetBackup 管理インフラストラクチャと setuptrust コマンドの統合

シマンテック製品管理サーバーは、1 つの製品の管理者が別の製品を管理するための 権限を持つように通信する必要があります。この通信により、1 つの管理サーバーのアプ リケーション処理が別のサーバーと連携して動作することが保証されます。通信を保証す るための 1 つの方法は、ルートブローカーと呼ばれる共通の独立したセキュリティサー バーを使うことです。すべての管理サーバーが共通のルートブローカーを指す場合、各 サーバーの権限は共通の証明書に基づきます。通信を保証するためのもう 1 つの方法 は、setuptrustコマンドを使うことです。このコマンドは、2 つの管理サーバー間で信頼 を確立するために使われます。このコマンドは、別の管理サーバーを信頼する必要があ る管理サーバーから発行されます。セキュリティ情報は、そのホストから、信頼の確立を要 求しているホストに転送されます。一方向の信頼が確立されます。双方向 (相互) の信頼 の設定は、これら 2 つのサーバーのそれぞれが setuptrust コマンドを発行することに より実行されます。たとえば、NetBackup の構成に Symantec OpsCenter Server (OPS) と 3 つのマスターサーバー (A、B、C) が含まれるとします。それぞれのマスターサーバー は、クライアントおよびメディアサーバーの NBAC ポリシーと管理に接続されています。

最初のステップは、それぞれのマスターサーバー (A、B、C) との信頼を Symantec OpsCenter Server (OPS) に設定することです。この信頼は、Symantec OpsCenter Server が、それぞれのマスターサーバー、およびそれぞれのマスターサーバーに接続 されたクライアントおよびメディアサーバーから、セキュリティ保護された通信を受け取るこ とを保証するものです。これらのイベントの順序は次のとおりです。

■ OPS がマスターサーバー A との信頼を設定します。

■ OPS がマスターサーバー B との信頼を設定します。

第 4 章 アクセス制御のセキュリティ NBAC のインストールおよび構成 198

■ OPS がマスターサーバー C との信頼を設定します。

Symantec OpsCenter が個々のマスターサーバーでアクションを実行するように設定さ れる場合には、それぞれのマスターサーバーから Symantec OpsCenter Server (OPS) に対して信頼関係が設定される必要があります。これらのイベントの順序は次のとおりで す。この場合、setuptrust コマンドが 6 回実行されます。

■ マスターサーバー A が Symantec OpsCenter Server (OPS) との信頼を設定します。

■ マスターサーバー B が Symantec OpsCenter Server (OPS) との信頼を設定します。

■ マスターサーバー C が Symantec OpsCenter Server (OPS) との信頼を設定します。

■ Symantec OpsCenter Server (OPS) がマスターサーバー A との信頼を設定します。

■ Symantec OpsCenter Server (OPS) がマスターサーバー B との信頼を設定します。

■ Symantec OpsCenter Server (OPS) がマスターサーバー C との信頼を設定します。

メモ: NetBackup 7.0 と OpsCenter 7.0 は、自動的に信頼を確立します。以前の

NetBackup マスターサーバーの場合には、これらの手動の setuptrust 操作を実

行することが必要になる場合があります。NetBackup マスターサーバー 7.0 のインス トールの最後に、OpsCenter のホスト名に関する質問があります。それを使って、マ スターサーバーは双方向の信頼の設定を開始できます。

setuptrust コマンドについて詳しくは、『Symantec NetBackup コマンド UNIX、

Windows および Linux』を参照してください。また、このマニュアルにもコマンドの概略 を示します。

Setuptrust コマンドの使用

setuptrust コマンドは、信頼するブローカーに連絡し、その証明書や詳細を回線を介 して取得して、提供された詳細が信頼できる場合に信頼のリポジトリに追加するために使 用します。セキュリティ管理者は、ルート証明書を配布するための次のセキュリティレベル の 1 つを構成できます。

■ 高セキュリティ (2): 以前に信頼できないルートがピアから取得されている (つまり、同 じシグネチャの証明書がこちらのトラストストアに存在しない) 場合、ユーザーはハッ シュを検証するように求められます。

■ 中セキュリティ (1): 確認を求めずに、最初の認証ブローカーが信頼されます。以降の 認証ブローカーを信頼しようとすると、ユーザーは、証明書が信頼済みストアに追加 される前に、ハッシュを検証するように求められます。

■ 低セキュリティ (0): 確認を求めずに、認証ブローカーの証明書は常に信頼されます。

vssat CLI が認証サービスの 'bin' ディレクトリにあります。

setuptrust コマンドでは、次の構文を使います。

第 4 章 アクセス制御のセキュリティ 199 NBAC のインストールおよび構成