RANDOM_PORTS 設定では、使用する接続元ポートを Media Manager が選択する方 法を指定します。このポートは、あるコンピュータ上の Media Manager ソフトウェアが別 のコンピュータ上の Media Manager ソフトウェアと通信する必要がある場合に使用され ます。デフォルトは YES です。
オプションの選択項目は、次のとおりです。
■ YES を指定した場合、接続元ポート番号は CLIENT_PORT_WINDOW の設定によっ
て定義された範囲からランダムに選択されます。
第 3 章 ポートセキュリティ
クライアント属性の設定によるポートの使用の構成 - bpclient 172
■ NO を指定した場合、接続元ポート番号は CLIENT_PORT_WINDOW の設定によっ て定義された範囲から順に選択されます。Media Manager は、範囲内の最大ポート 番号を使用して接続しようとします。その接続元ポートが機能しない場合、Media Manager は、次に大きい接続元ポート番号を使用しようとします。ポート番号は、機 能する接続元ポート番号を検出するまでリストから選択されます。
CLIENT_PORT_WINDOW = min | max
min および max は 1024 から 65535 の範囲の整数または 0 (ゼロ) です。これらの値に よって、Media Manager の外部接続に使用される接続元ポートの範囲が定義されます。
min によって最小接続元ポート番号が定義され、max によって最大接続元ポート番号 が定義されます。min が 0 (ゼロ) の場合、または max が min より小さい場合、接続元 ポート番号はオペレーティングシステムによって決定されます。デフォルトは 0 0 です。
たとえば、次の設定では 3000 から 8000 の範囲の接続元ポートが定義されます。
CLIENT_PORT_WINDOW = 3000 8000
CONNECT_OPTIONS = host 0 0 0|1|2
CONNECT_OPTIONS 設定では、Media Manager サービスへの接続に使用する接続 先ポート番号を指定します。vm.conf ファイルには、複数の CONNECT_OPTIONS の設 定を指定することができます。
オプションの選択項目は、次のとおりです。
■ host は、vmd などの Media Manager サービスを実行しているコンピュータのホスト 名です。
■ 先頭の 2 桁の数字は無視されます。
■ 3 番目の数字は、次のようにレガシー Media Manager 接続先ポートまたは vnetd
接続先ポートのどちらを使用するかを示します。
■ 0 を指定した場合、ローカルコンピュータは最初に vnetd 接続先ポート番号を使
用して、指定されたホストの Media Manager サービスに接続しようとします。接続 に失敗した場合、サーバーは指定されたホストの Media Manager サービスに接 続を再度試みます。この場合、サーバーはレガシー Media Manager 接続先ポー ト番号を使用します。
■ 1 を指定した場合、ローカルコンピュータから指定されたホストの Media Manager サービスへの接続には vnetd 接続先ポート番号が使用されます。
■ 2 を指定した場合、ローカルコンピュータから指定されたホストの Media Manager サービスへの接続にはレガシー Media Manager 接続先ポート番号が使用され ます。(5.1 以前のサーバーの場合はデフォルト。)
第 3 章 ポートセキュリティ 173 クライアント属性の設定によるポートの使用の構成 - bpclient
NetBackup 7.0 以上では、vm.conf ファイルに CONNECT_OPTIONS の設定が指定さ れていない場合、DEFAULT_CONNECT_OPTIONS および CONNECT_OPTIONS の 設定が Media Manager によってデフォルトとして使用されます。これらの設定は両方と も NetBackup 構成で定義されています。
たとえば、次の設定では、Media Manager の server3 への接続において、接続先ポー トとして vnetd が強制的に使用されます。
CONNECT_OPTIONS = server3 0 0 1 第 3 章 ポートセキュリティ
クライアント属性の設定によるポートの使用の構成 - bpclient 174
アクセス制御のセキュリティ
この章では以下の項目について説明しています。
■ NBAC (NetBackup アクセス制御) について
■ アクセス管理
■ アクセス管理コンポーネント
■ NBAC のインストールおよび構成
■ アクセス管理のトラブルシューティングのガイドライン
■ アクセス管理ユーティリティの使用
■ NetBackup へアクセス可能なユーザーの決定
■ NetBackup ユーザーグループの権限
■ Infrastructure Core Services 言語パックのインストール、アップグレード、アンイン ストール
NBAC (NetBackup アクセス制御) について
この章では、認証と認可をマスターサーバーにインストールする方法について説明しま す。ここでは、非 HA (高可用性) クラスタ化環境でのインストールに関して説明します。
HA インストールについては、別の 2 つのマニュアルで説明しています。 そのマニュアル とは『Symantec NetBackup High Availability 管理者ガイド UNIX、Windows および Linux』および『ICS Installer Guide』です。
4
『Symantec NetBackup High Availability 管理者ガイド UNIX、Windows および Linux』について
このマニュアルでは、多数の HA 環境の 1 つにおいてマスターサーバーを高可用性に 設定する方法を説明します。HA 環境を開始するためのマスターサーバーの最初の設定 が可能です。また、このマニュアルでは、非 HA のメディアサーバーとクライアントをこの 環境で構成する方法についても説明します。
『ICS Installer Guide』について
HA マスターサーバーの設定が終了した後は、このクラスタマスターサーバーに認証と認 可をクラスタモードでインストールします。この『ICS Installer Guide』では、この方法を詳 細に説明します。また、このインストール方法の一般的な手順も示します。
『Symantec NetBackup セキュリティおよび暗号化ガイド UNIX、Windows および Linux』と HA インストールについて
『Symantec NetBackup セキュリティおよび暗号化ガイド UNIX、Windows および Linux』
には、NBAC (NetBackup アクセス制御) の構成方法の説明がありますが、クラスタ環境 の NBAC の構成方法の説明は十分ではありません。クラスタに関する補足説明は別途 提供されています。
http://entsupport.symantec.com/docs/336967 を参照してください。
コマンドの表記規則について
コマンドの使用方法の説明では、次の表記規則を使用します。
角カッコ [ ] の中のコマンドラインの要素は、必要に応じて指定します。
垂直バーまたはパイプ (|) は、選択可能な引数の区切りを示します。たとえば、コマンドの 形式が command arg1|arg2 の場合、変数 arg1 または変数 arg2 を選択できます。
アクセス管理
NetBackup へのアクセス権は、ユーザーグループを定義して、そのグループに権限を明 示的に付与することによって制御できます。ユーザーグループの構成および権限の割り 当ては、NetBackup 管理コンソールの[アクセス管理 (Access Management)]を使用し て行います。
メモ: NetBackup-Java 管理コンソールが機能するには、ユーザーがシステムにリモート でログオンする権限を所有している必要があります。
第 4 章 アクセス制御のセキュリティ アクセス管理
176
メモ: アクセス制御が構成されていないメディアサーバーは、root または管理者以外の ユーザーが管理することはできません。
NetBackup アクセス制御 (NBAC)
この項では、NetBackup アクセス制御 (NBAC) について説明します。NBAC は、
NetBackup の一部である、役割に基づくアクセス制御です。このマニュアルでは、さまざ まな観点から NBAC のインストールと構成について簡単な説明のみを記載しています。
メモ: NBAC の配置に役立つマニュアルは、次の Web サイトにあります。
http://entsupport.symantec.com/docs/336967 を参照してください。
NBAC の概要と配置が必要とされる状況
NBAC は、役割に基づくアクセス制御の実装です。役割に基づくアクセス制御が配置さ れるのは次のような状況です。
■ 1 つのアプリケーションに対して複数レベルの管理者権限を割り当てる場合。たとえ
ば、1 つのバックアップアプリケーションに対して、オペレータ (テープのロードとアン ロード)、ローカルの管理者 (1 つの施設内でのアプリケーションの管理)、統括的な管 理者 (複数のサイトを担当し、バックアップポリシーを決定) を割り当てることができま す。また、この機能はユーザーエラーの防止にもきわめて有効です。経験の浅い管 理者に対して特定の操作を制限することにより、不慮の操作ミスが防止されます。
■ システム管理にシステムの root 権限が必須とならないように管理者を分離する場合。
システムの管理者とアプリケーションの管理者を分離することができます。
NBAC などの役割に基づくアクセス制御には、次のようなものがあります。
■ Symantec Product Authentication Service (VxAT) は、人物またはエンティティが アプリケーションの操作に関して正当と見なされるかどうかを判断します。
■ Symantec Product Authorization Service は、人物またはエンティティが実行可能 な範囲 (役割) を定義します。VxAZ とも表示されます。
前提条件
ここでは、NBAC の構成を開始する前に準備しておくと役立つ前提条件を示します。これ らの項目を準備しておくことで、より円滑なインストールが可能になります。このインストー ルで使う情報は次のとおりです。
■ マスターサーバーのユーザー名またはパスワード (root 権限または管理者権限)
■ マスターサーバーの名前
■ マスターサーバーに接続されるすべてのメディアサーバーの名前
第 4 章 アクセス制御のセキュリティ 177 アクセス管理
■ バックアップされるすべてのクライアントの名前
■ ホスト名または IP アドレス
メモ: ホスト名は有効な IP アドレスに解決可能であることが必要です。
■ ping または traceroute (ホストに接続可能であることを確認するためのツールの 1
つとして使用)。また、これらのコマンドを使うことで、ファイアウォールやアクセスを遮 断するための他の防御手段を構成していないことが確認できます。
NetBackup 構成
マスターサーバー、メディアサーバー、クライアントのアップグレードが必要かどうかにつ いては、次に基づいて判断します。
■ マスターサーバー、メディアサーバー、クライアントのアップグレードによって提供され る機能がそれぞれあります。
■ NetBackup は、上位リビジョンのマスターサーバーおよび下位リビジョンのクライアン
トとメディアサーバーと連携して動作します。
■ 機能の内容により配置される内容が決定されます。
■ 配置は必要に応じて段階的に実行できます。
役割に関する情報
構成において役割を次のように決定します。
■ ホストの管理者 (マスターサーバーの root 権限は主席管理者と同等)。
■ 開始時の役割を決定した後、必要に応じて役割を追加します。
アクセス管理コンポーネント
NetBackup では、Symantec Product Authentication Service および Symantec Product Authorization Service を使用して、中核となるセキュリティを実装します。
Symantec Product Authentication Service と Symantec Product Authorization Service は共通のインフラサービスの集まりです。
メモ: NetBackup のアクセス管理では、ホームディレクトリが使用されます。ホームディレ クトリについて詳しくは、オペレーティングシステムのマニュアルを参照してください。
第 4 章 アクセス制御のセキュリティ アクセス管理コンポーネント 178