■ ユーザー管理
■ ユーザー認証
■ NetBackup 管理コンソールの認証での拡張監査の影響
NetBackup のアクセス制御について
NetBackup では、次の種類のアクセス制御を提供しています。
■ NetBackup 管理コンソール (デフォルト)
NetBackup 管理者は、NetBackup でさまざまなアプリケーションを表示できるユー ザーを制御できます。root ユーザーと管理者には、NetBackup 管理コンソールへの フルアクセス権があります。root 以外または管理者以外のユーザーは、バックアップ、
アーカイブおよびリストアアプリケーションにアクセスできます。このユーザーは auth.conf ファイルで定義されている、追加のアプリケーションにもアクセスできま す。
アクセス制御はビューベースで、役割ベースではありません。管理者は、ユーザーが 表示および管理できるアプリケーションを制御できますが、ユーザーが組織での役割 に基づいて実行できるタスクを制御できません。アクセス制御は、NetBackup 管理コ ンソールに制限されます。(バックアップ、アーカイブ、およびリストアクライアント、
NetBackup MS SQL Client などのインターフェースは影響を受けません。)
NetBackup 管理コンソールでのアクセス制御について詳しくは、『NetBackup セキュ
リティおよび暗号化管理者ガイド Vol. 1』を参照してください。
■ 役割に基づくアクセス制御 (RBAC)
NetBackup 8.1.2 リリース以降の NetBackup Web ユーザーインターフェースでは、
限られた数のセキュリティ設定と作業負荷に対して、役割に基づくアクセス制御が可
5
能です。詳しくは、『NetBackup Web UI セキュリティ管理者ガイド』の説明を参照し てください。
■ 拡張監査
この機能では、root 以外のユーザーや管理者以外のユーザーが、コマンドラインイン ターフェースまたは NetBackup 管理コンソールを使ってすべての NetBackup 操作 を実行できます。ユーザーは、すべて操作を実行できるか、まったくできないかのい ずれかになります。この機能では、役割に基づくアクセス制御は提供されません。
p.96 の 「拡張監査について」 を参照してください。
■ NetBackup アクセス制御 (NBAC)
NBAC は、NetBackup 管理コンソールや CLI 向けに、NetBackup で独自に提供さ れている役割に基づくアクセス制御です。ベリタスは、NetBackup 環境を管理するた めにアクセス制御の他のいずれかの方式を使用することを推奨します。
p.122 の 「NetBackup アクセス制御 (NBAC) の使用について」 を参照してください。
NetBackup 管理コンソールと CLI のアクセス制御方法
NetBackup 管理コンソールと CLI で利用可能なアクセス制御の主な違いを次の表にま とめます。(NetBackup Web UI の RBAC 機能は、Web UI と NetBackup API に対す るアクセス制御のみを提供します)
表 5-1
拡張監査 NBAC NetBackup 管理コンソール
と auth.conf アクセスおよび監査
root ユーザーや管理者には、管 理コンソールへのフルアクセス権 があります。
ユーザーの NBAC グループメン バーシップにより、使用する権限 があるアプリケーションが決定され ます。
root ユーザー、管理者、およ び NetBackup 管理者には、
管理コンソールへのフルアクセ ス権があります。
root 以外のユーザーまたは管 理者以外のユーザーは、デ フォルトでバックアップ、アーカ イブ、およびリストアアプリケー ションに限定されています。
root ユーザーや管理者には、管 理コンソールへのフルアクセス権 があります。
root 以外のユーザーまたは管理 者以外のユーザーは、デフォル トでバックアップ、アーカイブ、お よびリストアアプリケーションに限 定されています。そうでない場 合、これらのユーザーは auth.conf ファイルで定義され ているアプリケーションにアクセス できます。
NetBackup 管理コン ソールを使用できる ユーザー
第 5 章 アクセス制御のセキュリティ 112 NetBackup のアクセス制御について
拡張監査 NBAC NetBackup 管理コンソール
と auth.conf アクセスおよび監査
root ユーザーまたは管理者には、
CLI へのフルアクセス権がありま す。
NBAC によって権限が付与された ユーザーは CLI を使用できます。
NBAC グループメンバーシップに より、使用する権限があるコマンド が決定されます。
root ユーザー、管理者、およ び NetBackup 管理者には、
CLI へのフルアクセス権があり ます。
root ユーザーと管理者には、CLI へのフルアクセス権があります。
CLI を使用できるユー ザー
実際のユーザー名を使用 実際のユーザー名を使用
root または管理者として ユーザーの監査方法
NetBackup 管理コンソールと auth.conf
拡張監査は NBAC と互換性があ りません。
NBAC は独立して機能。
拡張監査 その他の機能との互換
性
NetBackup 管理コンソールと CLI でのアクセス制御方法の詳細を次のフローチャートに
まとめます。
第 5 章 アクセス制御のセキュリティ 113 NetBackup のアクセス制御について
図 5-1 拡張監査が有効化された CLI ユーザーのアクセス制御
開始
拡張監査?
ルートまたは管理者
要求を処理
監査
終了 はい
ユーザーが VxAT に認証されてい
ますか?
ユーザーが NetBackup 管理者ですか(バ
イナリ AZ)?
エラーメッ セージ はい
いいえ
はい
エラーメッ セージ いいえ
いいえ はい
いいえ
第 5 章 アクセス制御のセキュリティ 114 NetBackup のアクセス制御について
図 5-2 拡張監査が有効化された NetBackup 管理コンソールユーザーのア クセス制御
開始
拡張監査?
auth.conf ファイルが存在
しますか?
auth.conf ファイル内の定義
に従った NetBackup Java コンソールへのア
クセス
操作を実行
監査
終了 auth.conf
ファイルが存 在しますか?
ルート/管理者/
のエントリが authalias.conf ファイル内にあり
ますか?
NetBackup Java コンソールに フルアクセス できます
はい
BAR GUI いいえ
いいえ
ユーザーエン トリが auth.conf ファイル内にあり
ますか?
はい
はい
ユーザーエン トリが auth.conf ファイル内にあり
ますか?
いいえ はい
ルート/管理者?
NetBackup Java コンソールにフ ルアクセスでき
ます
BAR GUI はい
いいえ いいえ
いいえ いいえ
はい はい
第 5 章 アクセス制御のセキュリティ 115 NetBackup のアクセス制御について
図 5-3 NBAC が有効化された CLI ユーザーのアクセス制御
開始
NBAC が有効ですか?
ルートまたは 管理者?
要求を処理
監査
終了
自動/必須
ユーザーが VxAT を 通して認証されて
いますか?
ユーザーが VxAT を 通して認証され
ていますか?
ユーザー が VxAZ を 通して許可されて
いますか?
エラーメッ セージ
はい
エラーメッ セージ はい
はい
自動 必須 いいえ
はい いいえ
いいえ
はい
いいえ
いいえ
第 5 章 アクセス制御のセキュリティ 116 NetBackup のアクセス制御について
図 5-4 NBAC が有効化された NetBackup 管理コンソールユーザーのアク セス制御
開始
NBAC?
auth.conf ファイルが存
在しますか?
auth.conf ファイル内の定
義に従った NetBackup Java コンソールへの
アクセス
操作を実行
監査
終了
auth.conf ファイルが存
在しますか?
ルート/
管理者?
USE_AUTH_CONF_
NBAC が設定 されていますか?
いいえ はい
BAR GUI いいえ
auth.conf ファイル内の定
義に従った NetBackup Java コンソールへの
アクセス NetBackup
Java コンソールに フルアクセス できます はい
いいえ
ユーザーア クション
要求
ユーザーが VxAZ を通し て許可されていま
すか?
はい
エラーメッ セージ いいえ NetBackup
Java コンソールに フルアクセス できます
BAR GUI
ユーザーエン トリが auth.conf ファイル内にあり
ますか?
はい いいえ
ユーザー はい エントリが
auth.conf ファイル内にあ
りますか?
いい え ルート/
管理者?
はい はい
いいえ いいえ はい
いいえ
はい
第 5 章 アクセス制御のセキュリティ 117 NetBackup のアクセス制御について
ユーザー管理
拡張監査用に NetBackup を設定すると、管理者は以下のことが行えるようになります。
■ ユーザーに NetBackup 管理者権限を付与したり、取り消したりできます。
■ NetBackup 管理者権限を持つユーザーを検出できます。
■ NetBackup 管理者権限を持つユーザーを一覧表示できます。
メモ: NetBackup 管理者権限を持つユーザーのみユーザー管理タスクを実行できます。
ユーザー管理タスクを実行するには bpnbazコマンドを使用します。ユーザーの追加、削 除、ルックアップ、リストのコマンドは、次のオプションで実行する必要があります。
bpnbaz -[AddUser | DelUser] Domain_Type:Domain_Name:User_Name [-M server] [-credfile][-reason]
bpnbaz -LookupUser Domain_Type:Domain_Name:User_Name [-M server]
[-credfile] bpnbaz -ListUsers [-M server] [-credfile]
bpnbaz -ListUsers Domain_Type:Domain_Name:User_Name [-M server]
[-credfile] bpnbaz -ListUsers [-M server] [-credfile]
次の表で、各コマンドについて説明します。
表 5-2
使用例 説明
コマンド
bpnbaz -AddUser
unixpwd:v-123790b.punin.sen.veritas.com:Debbie ユーザーが NetBackup 管
理者権限を付与できるよう にします。
-AddUser
bpnbaz -DelUser
unixpwd:v-123790b.punin.sen.veritas.com:Debbie ユーザーが NetBackup 管
理者権限を取れ消せるよう にします。
-DelUser
bpnbaz -LookupUser
unixpwd:v-123790b.punin.sen.veritas.com:Debbie ユーザーが、ユーザーを検
索したり、管理者権限を持 つユーザーを検出できるよ うにします。
-LookupUser
bpnbaz -ListUsers ユーザーが、NetBackup
管理者権限を持つユー ザーを一覧表示できるよう にします。
-ListUsers
第 5 章 アクセス制御のセキュリティ 118 ユーザー管理
bpnbaz コマンドについて詳しくは、『NetBackup コマンドリファレンスガイド』を参照して ください。
ユーザー認証
デフォルトでは、NetBackup はユーザー認証を委任しません。ただし、NetBackup を拡 張監査用に設定する場合、マスターサーバーからのユーザー認証が必須になります。
ユーザーは認証のために bpnbat -login コマンドを使います。
UNIX ユーザーと Windows ユーザーのログインプロセスは異なります。
UNIX
■ bpnbat -loginコマンドを実行することは、ルートユーザーを除くすべてのユーザー で必須です。
Windows
■ 管理者はシングルサインオン (SSO) オプションを介して自動的にログインします。
■ 標準ユーザーも SSO オプションを介してログインします。 SSO が失敗した場合は、
ユーザーが bpnbat -login コマンドを実行する必要があります。また、bpnbat -GetBrokerCert コマンドを実行して、サーバーとの信頼を確立することもできます。