図 6-9 UNIX システムだけが存在する構成の例
クライアント (UNIX) unix_client.min.com 認証クライアント
NBU マスターサーバー (UNIX) unix_master.min.com ルートブローカー
認証ブローカー 認可サービス 認証
サーバー 認可 サーバー
メディアサーバー (UNIX) unix_media.min.com 認証クライアント、認可クライアント 以下の名前の Private Veritas Product Authentication and Authorization ドメイン:
NBU_Machines@unix_master.min.com 次のクレデンシャルを含みます:
unix_master.min.com unix_media.min.com unix_client.min.com
unix_media.min.com UNIX ユーザーアカ
ウントは UNIX 認証ブローカーによって 認証されます
注意:
各マシンには、そのマシンのために作成されたプライベートドメインアカウントがあります。
これらのアカウントを使用することで、NetBackup は相互に通信するマシンをより正確に識別 することができます。
unix_client.min.com
表 6-9 UNIX マスターサーバーの検証プロセス 説明
プロセス
ホストが登録されているドメイン (プライマリ認証ブローカーが存在する場所)、および証明書に示され ているコンピュータの名前を判断します。 bpnbat に -whoami およびマスターサーバーのクレデン シャルファイルを指定する -cf を指定して実行します。 サーバークレデンシャルは
/usr/openv/var/vxss/credentials/ ディレクトリに存在します。
例:
bpnbat -whoami -cf
/usr/openv/var/vxss/credentials/unix_master.company.com Name: unix_master.company.com
Domain: NBU_Machines@unix_master.company.com Issued by: /CN=broker/OU=root@unix_master/O=vx Expiry Date: Oct 31 15:44:30 2007 GMT
Authentication method: Veritas Private Security Operation completed successfully.
表示されたドメインが NBU_Machines@unix_master.company.com でない場合、またはファイルが 存在しない場合、対象の名前 (unix_master) に対して bpnbat -addmachine を実行することを 検討してください。 NBU_Machines ドメインとして機能するコンピュータ (unix_master) でこのコマン ドを実行します。
次に、証明書を配置するコンピュータ(unix_master)上で、コマンド bpnbat -loginmachine を 実行します。
メモ: クレデンシャルの期限が切れているかどうかを判断する場合、有効期限がローカル時間ではな く GMT で表示されることに注意してください。
メモ: この検証の残りの手順では、コンソールウィンドウからコマンドを実行することを想定しています。
このコンソールウィンドウから、対象のユーザー識別情報で NBU_Security Admin のメンバーである 識別情報を使用して bpnbat -login が実行されています。この識別情報は、通常、セキュリティが 設定された最初の識別情報です。
UNIX マスターサー バー設定の検証
認証ブローカーに存在するコンピュータを検証するには、管理者グループのメンバーでログオンし、
次のコマンドを実行します。
bpnbat -ShowMachines
実行されているコンピュータが次のコマンドで表示されます。
bpnbat -AddMachine 認証ブローカーに存
在するコンピュータの 検証
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 167 アクセス管理のトラブルシューティング
説明 プロセス
認可の照合を実行可能なコンピュータを検証するには、認可ブローカーで root ユーザーとしてログ オンし、次のコマンドを実行します。
bpnbaz -ShowAuthorizers
==========
Type: User Domain Type: vx
Domain:NBU_Machines@unix_master.company.com Name: unix_master.company.com
==========
Type: User Domain Type: vx
Domain:NBU_Machines@unix_master.company.com Name: unix_media.company.com
Operation completed successfully.
このコマンドを実行すると、unix_master および unix_media が認可を照合する権限を所有している ことが示されます。両方のサーバーが、同じ vx (Veritas プライベートドメイン) ドメイン
NBU_Machines@unix_master.company.com に対して認証されていることに注意してください。
認可済みコンピュータのリストにマスターサーバーまたはメディアサーバーが表示されない場合、
bpnbaz -allowauthorization <server_name> を実行して、表示されていないコンピュー タを追加します。
認可の照合が許可さ れているコンピュータ の検証
データベースが正しく構成されていることを検証するには、bpnbaz -listgroups を実行します。
bpnbaz -listgroups NBU_Operator NBU_Admin NBU_SAN Admin NBU_User
NBU_Security Admin Vault_Operator
Operation completed successfully.
グループが表示されない場合または bpnbaz -listmainobjects を実行してもデータが戻され ない場合は、bpnbaz -SetupSecurity を実行します。
データベースが正しく 構成されていることの 検証
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 168 アクセス管理のトラブルシューティング
説明 プロセス
ps コマンドを実行して、指定したホスト上で nbatd および nbazd プロセスが実行されていることを 確認します。 必要に応じて、これらのプロセスを起動します。
例:
ps -fed |grep vx
root 10716 1 0 Dec 14 ? 0:02 /usr/openv/netbackup/bin/private/nbatd
root 10721 1 0 Dec 14 ? 4:17 /usr/openv/netbackup/bin/private/nbazd nbatd および nbazd
プロセスが実行されて いることの検証
[アクセス制御 (Access Control)]ホストプロパティで、[NetBackup Product Authentication and Authorization]プロパティが正しく設定されていることを検証します。 この設定は、すべてのコンピュー タが NetBackup Authentication and Authorization を使うかどうかによって[自動 (Automatic)]また は[必須 (Required)]のいずれかにする必要があります。 すべてのコンピュータで NetBackup Authentication and Authorization が使用されているわけではない場合は、[自動 (Automatic)]に設 定します。
[アクセス制御 (Access Control)]ホストプロパティで、リスト内の認証ドメインの綴りが正しいことを確 認します。 また、ドメインが適切なサーバー (有効な認証ブローカー) を示していることを確認します。
すべてのドメインが UNIX ベースである場合、ドメインは、認証ブローカーを実行している UNIX マシ ンを示している必要があります。
また、このプロセスは、cat を使用して bp.conf で確認することもできます。
cat bp.conf
SERVER = unix_master SERVER = unix_media CLIENT_NAME = unix_master
AUTHENTICATION_DOMAIN = company.com "default company NIS namespace"
NIS unix_master 0
AUTHENTICATION_DOMAIN = unix_master "unix_master password file"
PASSWD unix_master 0
AUTHORIZATION_SERVICE = unix_master.company.com 0 USE_VXSS = AUTOMATIC
# ホストプロパティが正し く構成されていることの 検証