メモ: NetBackup 管理コンソールが機能するには、ユーザーがシステムにリモートでログ オンする権限を所有している必要があります。
メモ: アクセス制御が構成されていないメディアサーバーは、ルート以外のユーザーまた は管理者以外のユーザーが管理することはできません。
NetBackup アクセス制御 (NBAC) の構成
1 マスターサーバーで NetBackup アクセス制御 (NBAC) を構成します。
p.127 の 「スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC)
の構成」 を参照してください。
メモ: マスターサーバーは、スタンドアロンモードまたはクラスタでの高可用性構成と してインストールできます。
2 メディアサーバーで NBAC を構成します。
p.129 の 「メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成」 を参照 してください。
3 クライアントで NBAC を構成します。
p.131 の 「クライアントでのアクセス制御のインストールおよび構成」 を参照してくださ
い。
NBAC の構成の概要
この項では、bpnbaz コマンドを使って NetBackup アクセス制御 (NBAC) を構成する場 合の推奨事項について説明します。このコマンドは、
NETBACKUP_INSTALL_PATH/bin/admincmd ディレクトリから使用できます。
bpnbaz ユーティリティは、マスターサーバー、メディアサーバーおよびクライアントで NBAC を構成するために必要になります。 このツールは、すべての下位リビジョンのメ ディアサーバーやクライアントのホストの NBAC も構成します。 bpnbaz コマンドの概略 は、次の項を参照してください。p.133 の 「NBAC の構成コマンドの概略」 を参照してくだ さい。 この項では、これらのコマンドの使用方法の例を、推奨される使用法の詳細ととも に示します。 サービスを構成した後は、サーバーとクライアントのそれぞれにおいてサー ビスを再起動する必要があります。
構成はマスターサーバーから実行されるため、マスターサーバー、メディアサーバー、お よびクライアントの間で通信リンクが確実に動作することが必要です。 前提条件リストを確 認する方法: p.122 の 「NetBackup アクセス制御 (NBAC) の使用について」 を参照して ください。 その一覧を確認し、関連するメディアサーバー、クライアント、それらと通信す るためのアドレスのすべてをメモしておいてください。
トラブルシューティングの情報については、次の項を参照してください。p.150 の
「NetBackup Authentication and Authorization の構成とトラブルシューティング」 を参 照してください。 トラブルシューティングの初期段階において便利な OS コマンドと NetBackup コマンドがあります。 OS コマンドは ping、traceroute、および telnet で す。 NetBackup コマンドは bpclntcmd です。これらのコマンドは、ホストが相互に通信 可能であることを確認するために使用します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 126 NetBackup アクセス制御 (NBAC) の構成
スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
次の手順では、単一のコンピュータにインストールされているマスターサーバーで NetBackup アクセス制御 (NBAC) を構成する方法について記述します。マスターサー バーには、認証サーバーおよび認可サーバーが必要です。
次の表に、NBAC 構成例のホスト名を示します。
表 6-2 ホスト名の例
UNIX Windows
ホスト名
unix_master win_master
マスターサーバー
unix_media win_media
メディアサーバー
unix_client win_client
クライアント
次の手順では、スタンドアロンのマスターサーバーでの NBAC の構成方法について説 明します。
メモ: マスターサーバーで -setupmaster を使用して USE_VXSS = AUTOMATIC を設定 してください。 USE_VXSS = REQUIRED がマスターサーバーで設定されている場合にメ ディアサーバーで NBAC を構成しようとすると、NetBackup マスターサーバーが REQUIRED モードで構成されていることを示すエラーが発生することがあります。 モードを AUTOMATIC に変更してメディアサーバーの構成を完了してください。
スタンドアロンのマスターサーバーでの NBAC の構成
1 すべての NetBackup マスターサーバーのインストールまたはアップグレードを実行 します。
2 bpnbaz -setupmaster コマンドを実行します。
「y」を入力します。システムは構成情報を集め始めます。それから、システムは認可 情報を設定し始めます。
3 bpnbaz -setupmasterコマンドが正常に終了したら、このコンピュータの NetBackup サービスを再起動します。
4 メディアサーバーの設定に進みます。 p.129 の 「メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成」 を参照してください。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 127 NetBackup アクセス制御 (NBAC) の構成
クラスタでの高可用性の NetBackup マスターサーバーのインストール
クラスタで高可用性の NetBackup マスターサーバーをインストールするには次の手順を 使うことができます。
NetBackup のインストールとクラスタ化
1 NetBackup マスターサーバーをインストールするクラスタシステムを構成します。
2 クラスタのすべてのノードに NetBackup マスターサーバーをインストールします。
3 NetBackup マスターサーバーをクラスタ化します。
レプリケーションとディザスタリカバリに関する HA の情報は、『NetBackup 高可用 性の環境管理者ガイド』で説明されています。
クラスタに関する情報は、『NetBackup マスターサーバーのクラスタ化管理者ガイド』
を参照してください。
4 NBAC を有効化せずに NetBackup ドメイン内で動作することを確認するために、
テストバックアップを実行します。
クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
メモ: Windows のクラスタ化環境では、-setupmaster の実行後に、パッシブノードの AUTHENTICATION_DOMAIN エントリがアクティブノードの名前と同じである場合がありま す。これは許容されません。パッシブノードでのフェールオーバー後、MFC UIが (<[local machine name] > ¥[Administrator user] を使って) 起動されると、認証関連のポップアッ プエラーメッセージが表示されます。 この問題の回避策は setupmaster の実行後 (フェー ルオーバーの前) に、パッシブノードの AUTHENTICATION_DOMAIN にローカルノード名 を認証ドメインとして追加することです。 AUTHENTICATION_DOMAIN の値を更新する前 に、C:¥Program Files¥Veritas¥NetBackup¥bin¥admincmd¥bpgetconfig コマン ドを使って現在の値を取得します。それから C:¥Program
Files¥Veritas¥NetBackup¥bin¥admincmd¥bpsetconfig コマンドを使って既存の ドメインリストに認証ドメインとしてローカルノード名を追加します。bpsetconfig コマンド プロンプトを終了して保存するには、Ctrl + Z を押し、Enter キーを押します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 128 NetBackup アクセス制御 (NBAC) の構成
メモ: クラスタのアクティブノードで NBAC モードを REQUIRED から PROHIBITED に戻す と、クラスタがエラー状態になることがあります。この問題の回避策は次の操作を実行す ることです。 アクティブノードで bpclusterutil -disableSvc nbatd コマンドを実行 し、次に bpclusterutil -disableSvc nbazd コマンドを実行します。 bpsetconfig コマンドを使って bp.conf USE_VXSS=AUTOMATICまたは REQUIREDの値を PROHIBITED に変更します。アクティブノードで bpclusterutil -enableSvc nbazd コマンド、その 次に bpclusterutil -enableSvc nbatd コマンドを実行して、セキュリティサービスを 監視するために NBAC を REQUIRED モードに変更します。
クラスタ化されたマスターサーバーで NetBackup アクセス制御 (NBAC) を構成するに は、次の手順を実行します。
クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成 1 プライマリクラスタノードにログオンします。
2 Windows を使用している場合は、コマンドコンソールを開きます。
3 UNIX の場合は、ディレクトリを /usr/openv/netbackup/bin/admincmd に変更 します。 Windows の場合は、ディレクトリを C:¥Program
Files¥Veritas¥NetBackup¥bin¥admincmd に変更します。
4 アクティブノードで bpnbaz -setupmaster を実行します。
5 マスターサーバーのコンソール GUI にログオンします。
6 NBAC の設定を確実に有効にするために、NetBackup サービスを再起動してくだ
さい。
メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
次の手順では、NetBackup 構成内のメディアサーバーで NetBackup アクセス制御 (NBAC) を構成する方法について記述します。これらの手順は、マスターサーバーと同 じ場所に配置されていないメディアサーバーに必要です。
メモ: マスターサーバーで -setupmedia を使用して USE_VXSS = AUTOMATIC を設定 してください。 USE_VXSS = REQUIRED がマスターサーバーで設定されている場合にメ ディアサーバーで NBAC を構成しようとすると、NetBackup マスターサーバーが REQUIRED モードで構成されていることを示すエラーが発生することがあります。 モードを AUTOMATIC に変更してメディアサーバーの構成を完了してください。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 129 NetBackup アクセス制御 (NBAC) の構成
メディアサーバーでのアクセス制御の構成
1 マスターサーバーコンピュータにログオンします。
2 bpnbat -login コマンドを実行します。
コマンドのエラーを防ぐため、必ず bpnbat -loginコマンドを実行してから bpnbaz -setupmedia コマンドを実行してください。
bpnbaz -setupmedia コマンドには、いくつかのオプションがあります。
このコマンドは、個別のホストまたは -all オプションのいずれかの拡張が指定され ていないと動作しません。
p.133 の 「NBAC の構成コマンドの概略」 を参照してください。
最初に -dryrunオプションを使用して、構成のドライランを実行をすることをお勧め します。このオプションは、 -all および単一のサーバー構成の両方に使用できま す。 デフォルトでは、検出されたホストのリストは SetupMedia.nbacファイルに書き 込まれます。また、-out <output file> オプションを使用して、ユーザー独自の 出力ファイル名を指定することもできます。ユーザー独自の出力ファイルを使う場合、
-file オプションを使って、このファイルを以降の実行に渡す必要があります。ドラ イランコマンドは、次のように指定します。
bpnbaz -SetupMedia -all -dryrun [-out <outfile>] または
bpnbaz -SetupMedia <media.server.com> -dryrun [-out <outfile>]
更新するメディアサーバーがすべてログファイルにある場合、-dryrunオプションを 使用します。-allコマンドを使うことにより、それらすべてを一度に実行することがで きます。たとえば、次のように使用できます。
bpnbaz -SetupMedia -all または
bpnbaz -SetupMedia -file <progress file>
-all オプションを使う場合、検出されたすべてのメディアサーバーがコマンドを実
行するたびに更新される点に注意してください。選択したメディアサーバーのセット に対してコマンドを実行することもできます。構成するメディアサーバーのホスト名の みをファイルに保持し、-fileオプションを使用してそのファイルを渡します。この入 力ファイルは、SetupMedia.nbac、または前述のドライランの際に -out オプション で与えたカスタムファイル名になります。たとえば、次のように指定できます。- bpnbaz -SetupMedia -file SetupMedia.nbac。
単一のメディアサーバーを構成する場合には、メディアサーバーのホスト名をオプ ションとして指定します。たとえば、以下を使用します。
bpnbaz -SetupMedia <media.server.com>
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 130 NetBackup アクセス制御 (NBAC) の構成