bpnbaz コマンドについて詳しくは、『NetBackup コマンドリファレンスガイド』を参照して ください。
ユーザー認証
デフォルトでは、NetBackup はユーザー認証を委任しません。ただし、NetBackup を拡 張監査用に設定する場合、マスターサーバーからのユーザー認証が必須になります。
ユーザーは認証のために bpnbat -login コマンドを使います。
UNIX ユーザーと Windows ユーザーのログインプロセスは異なります。
UNIX
■ bpnbat -loginコマンドを実行することは、ルートユーザーを除くすべてのユーザー で必須です。
Windows
■ 管理者はシングルサインオン (SSO) オプションを介して自動的にログインします。
■ 標準ユーザーも SSO オプションを介してログインします。 SSO が失敗した場合は、
ユーザーが bpnbat -login コマンドを実行する必要があります。また、bpnbat -GetBrokerCert コマンドを実行して、サーバーとの信頼を確立することもできます。
NetBackup 管理コンソールの認証での拡張監査の影
Java インターフェースアクセス CLI アクセス
auth.conf エントリ
完全なアクセス 完全なアクセス
NetBackup 管理者権限を 所有しているが、
auth.conf ファイルにエ ントリが存在しない
auth.conf ファイルに指定されたとお りにアクセスする
完全なアクセス NetBackup 管理者権限を
所有し、auth.conf ファ イルにエントリも存在する
アクセス不可 アクセス不可
auth.conf ファイルにエ ントリが存在せず、
NetBackup 管理者権限も 所有していない
第 5 章 アクセス制御のセキュリティ 120 NetBackup 管理コンソールの認証での拡張監査の影響
NetBackup アクセス制御セ キュリティ (NBAC)
この章では以下の項目について説明しています。
■ NetBackup アクセス制御 (NBAC) の使用について
■ NetBackup のアクセス管理
■ NBAC (NetBackup アクセス制御) 構成について
■ NetBackup アクセス制御 (NBAC) の構成
■ マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティ の構成
■ クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
■ 自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
■ アクセス管理のトラブルシューティング
■ アクセス管理ユーティリティの使用
■ NetBackup へアクセス可能なユーザーの決定について
■ NetBackup ユーザーグループの特定のユーザー権限の表示
■ NetBackup アクセス制御 (NBAC) のアップグレード
■ NetBackup の古いバージョンがリモートコンピュータにインストールされているルート
ブローカーを使っている場合の NetBackup のアップグレード
6
NetBackup アクセス制御 (NBAC) の使用について
NetBackup アクセス制御 (NBAC) は、マスターサーバー、メディアサーバー、クライアン
トに対して使われる、役割に基づくアクセス制御です。NBAC は、次のことが必要な場合 に使うことができます。
■ 1 つのアプリケーションに対して複数レベルの管理者権限を使う場合。たとえば、1 つ のバックアップアプリケーションに対して、オペレータ (テープのロードとアンロード)、
ローカルの管理者 (1 つの施設内でのアプリケーションの管理)、統括的な管理者 (複 数のサイトを担当し、バックアップポリシーを決定) を割り当てることができます。この 機能はユーザーエラーの防止にもきわめて有効です。経験の浅い管理者に対して特 定の操作を制限することにより、不慮の操作ミスが防止されます。
■ システム管理にシステムの root 権限が必須とならないように管理者を分離する場合。
システムの管理者とアプリケーションの管理者を分離することができます。
メモ: NetBackup アクセス制御 (NBAC) が有効な場合は、NetBackup Web UI と Web API を使用できません。
次の表は NBAC の注意事項をリストしたものです。
表 6-1 NBAC の注意事項 説明または解決 注意事項または問題
ここでは、NBAC の構成を開始する前に準備しておくと役立つ前 提条件を示します。これらの項目によりインストールが簡単になり ます。このインストールで使う情報は次のリストのとおりです。
■ マスターサーバーのユーザー名またはパスワード (root 権限 または管理者権限)
■ マスターサーバーの名前
■ マスターサーバーに接続されるすべてのメディアサーバーの 名前
■ バックアップされるすべてのクライアントの名前
■ ホスト名または IP アドレス
メモ: ホスト名は有効な IP アドレスに解決可能であることが 必要です。
■ ping または traceroute コマンド (ホストに接続可能であ ることを確認するためのツールの 1 つとして使用)。 これらの コマンドを使うことで、ファイアウォールやアクセスを遮断する ための他の防御手段を構成していないことが確認できます。
NBAC を構成する前の前提条件
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 122 NetBackup アクセス制御 (NBAC) の使用について
説明または解決 注意事項または問題
マスターサーバー、メディアサーバー、クライアントのアップグレー ドが必要かどうかについては、次に基づいて判断します。
■ マスターサーバー、メディアサーバー、クライアントのアップグ レードによって提供される機能がそれぞれあります。
■ NetBackup は、上位リビジョンのマスターサーバーおよび下
位リビジョンのクライアントとメディアサーバーと連携して動作 します。
■ 機能の内容により配置される内容が決定されます。
■ 配置は必要に応じて段階的に実行できます。
マスターサーバー、メディアサーバー、クライアントのアップ グレードが必要かどうかについての判断
構成において役割を次のように決定します。
■ ホストの管理者 (マスターサーバーの root 権限は主席管理 者と同等)。
■ 開始時の役割を決定した後、必要に応じて役割を追加しま す。
役割に関する情報
アクセス制御を有効にする際にライセンスは必要ありません。
NBAC のライセンスの要件
通常 NBAC を使って Setupmaster コマンドを実行するとき、
NetBackup 関連グループの権限 (たとえば、NBU_Admin と KMS_Admin) が作成されます。デフォルトの root と管理者ユー ザーもそれらのグループに追加されます。場合によっては NetBackup がアップグレードされるときに、root と管理者レベル のユーザーが KMS グループに追加されないことがあります。解 決するには、root と管理者レベルのユーザーに NBU_Admin と KMS_Admin の権限を手動で付与します。
NBAC と KMS の権限
WSFC 環境で bpnbaz -UnhookSharedSecSvcsWithPBX
<virtualhostname>コマンドを実行することにより、エラーメッ セージをトリガできます。 ただし共有の認証と認可サービスは、
PBX から正常に解除され、エラーは無視できます。
PBX からの共有セキュリティサービスを解除する間に表示 される Windows Server Failover Clustering (WSFC) の エラーメッセージ
クラスタ環境でbpnbaz -setupmaster コマンドをローカル管 理者として実行するとき、AUTHENTICATION_DOMAINエントリ には他のクラスタノードエントリが含まれない場合があります。その ような場合、これらのエントリはホストプロパティから bp.conf ファ イルに手動で追加される必要があります。
表示される可能性のあるクラスタノードエラー
NBAC がREQUIRED モードで実行され、カタログリカバリが実 行された場合には、NBAC はPROHIBTED モードから REQUIRED モードにリセットされる必要があります。
カタログリカバリは、NBAC が REQUIRED モードに設定さ れているとき失敗します
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 123 NetBackup アクセス制御 (NBAC) の使用について
説明または解決 注意事項または問題
次のいずれかが実行された場合、NBAC 有効化モードでのスナッ プショットポリシーのバックアップ、リストア、検証は失敗する場合 があります。
■ 認証済みの原理は NBAC グループから削除されます。
NBU_Users グループ
■ NBU_User グループのバックアップとリストアの権限は削除さ
れました ポリシーの検証は NBAC モードでは失敗します (つまり
USE_VXSS = REQUIRED の場合)
管理者以外のユーザーが NetBackup のセキュリティを変更しよ うとした場合には bpnbaz –setupmaster が失敗します。
管理者グループの一員である「管理者」ユーザーのみに NetBackup のセキュリティを修正したり NBAC を有効にする権 限があります。
bpnbaz -setupmaster コマンドはエラー「認可サーバーに 接続できません。」で失敗します
システムの無効なドメイン名構成により認証ブローカーの構成中 に失敗します。
この問題を修正するには、bpnbaz -configureauth コマン ドを使って認証ブローカーを構成します。
bpnbaz コマンドについて詳しくは、『NetBackup コマンドリファ レンスガイド』を参照してください。
インストール中の認証ブローカー構成の失敗
NetBackup サーバーを拡張監査から NBAC に切り替えるとき は、次のディレクトリでユーザーの名前が付いたすべてのディレク トリが削除されていることを確認してください。
Windows の場合:
install_path¥NetBackup¥logs¥user_ops UNIX、Linux の場合:
/usr/openv/netbackup/logs/user_ops 詳しくは、次のトピックを参照してください。
p.148 の 「NBAC の問題のトラブルシューティング」 を参照してく ださい。
以前に拡張監査が有効になっていたシステムで NBAC が 有効になっていると、NetBackup の GUI エラーが発生す る可能性があります。
NetBackup のアクセス管理
NetBackup へのアクセス権は、ユーザーグループを定義して、そのグループに権限を 明示的に付与することによって制御できます。 ユーザーグループを構成し、権限を割り 当てることができます。 NetBackup 管理コンソールの[アクセス管理 (Access
Management)]を選択します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 124 NetBackup のアクセス管理
メモ: NetBackup 管理コンソールが機能するには、ユーザーがシステムにリモートでログ オンする権限を所有している必要があります。
メモ: アクセス制御が構成されていないメディアサーバーは、ルート以外のユーザーまた は管理者以外のユーザーが管理することはできません。