説明 プロセス
ps コマンドを実行して、指定したホスト上で nbatd および nbazd プロセスが実行されていることを 確認します。 必要に応じて、これらのプロセスを起動します。
例:
ps -fed |grep vx
root 10716 1 0 Dec 14 ? 0:02 /usr/openv/netbackup/bin/private/nbatd
root 10721 1 0 Dec 14 ? 4:17 /usr/openv/netbackup/bin/private/nbazd nbatd および nbazd
プロセスが実行されて いることの検証
[アクセス制御 (Access Control)]ホストプロパティで、[NetBackup Product Authentication and Authorization]プロパティが正しく設定されていることを検証します。 この設定は、すべてのコンピュー タが NetBackup Authentication and Authorization を使うかどうかによって[自動 (Automatic)]また は[必須 (Required)]のいずれかにする必要があります。 すべてのコンピュータで NetBackup Authentication and Authorization が使用されているわけではない場合は、[自動 (Automatic)]に設 定します。
[アクセス制御 (Access Control)]ホストプロパティで、リスト内の認証ドメインの綴りが正しいことを確 認します。 また、ドメインが適切なサーバー (有効な認証ブローカー) を示していることを確認します。
すべてのドメインが UNIX ベースである場合、ドメインは、認証ブローカーを実行している UNIX マシ ンを示している必要があります。
また、このプロセスは、cat を使用して bp.conf で確認することもできます。
cat bp.conf
SERVER = unix_master SERVER = unix_media CLIENT_NAME = unix_master
AUTHENTICATION_DOMAIN = company.com "default company NIS namespace"
NIS unix_master 0
AUTHENTICATION_DOMAIN = unix_master "unix_master password file"
PASSWD unix_master 0
AUTHORIZATION_SERVICE = unix_master.company.com 0 USE_VXSS = AUTOMATIC
# ホストプロパティが正し く構成されていることの 検証
次の表に、UNIX メディアサーバーの検証手順を示します。
表 6-10 UNIX メディアサーバーの検証プロセス 説明
プロセス
bpnbat -whoami にメディアサーバーのクレデンシャルファイルを指定する -cf を指定し て実行し、メディアサーバーを認証する認証ブローカーを判断します。 サーバークレデン シャルは /usr/openv/var/vxss/credentials/ ディレクトリに存在します。
例:
bpnbat -whoami -cf
/usr/openv/var/vxss/credentials/unix_media.company.com Name: unix_media.company.com
Domain: NBU_Machines@unix_master.company.com
Issued by: /CN=broker/OU=root@unix_master.company.com/
O=vx
Expiry Date: Oct 31 14:48:08 2007 GMT
Authentication method: Veritas Private Security Operation completed successfully.
表示されたドメインが NBU_Machines@unix_master.company.com でない場合、対象の 名前 (unix_media) に対して bpnbat -addmachine を実行することを検討してください。
このコマンドは、NBU_Machines ドメインとして機能する認証ブローカーのコンピュータ (unix_master) で実行します。
次に、証明書を配置するコンピュータ(unix_master)上で、bpnbat -loginmachine を 実行します。
メディアサーバーの検証
bpnbaz -ListGroups "machine_credential_file" を実行して、メディアサーバーが必 要に応じて認可データベースにアクセスできることを確認します。
"machine_credential_file"
例:
bpnbaz -ListGroups -CredFile
/usr/openv/var/vxss/credentials/unix_media.company.com NBU_User
NBU_Operator NBU_Admin
NBU_Security Admin Vault_Operator
Operation completed successfully.
このコマンドが失敗した場合、認可ブローカーであるマスターサーバー (unix_master) 上で bpnbaz -AllowAuthorization を実行します。root または管理者で実行する必要が あることに注意してください。
サーバーが認可データベースに アクセスできることの検証
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 170 アクセス管理のトラブルシューティング
説明 プロセス
メディアサーバーを検証します。また、メディアサーバーが適切なデータベースにアクセスで きることを検証します。この検証によって、認証および認可の両方の NetBackup
Authentication and Authorization のクライアントライブラリが正しくインストールされている ことを間接的に確認できます。ライブラリをロードできないことを示すメッセージが表示され、
前述のいずれかの手順が失敗した場合、認証および認可クライアントライブラリがインストー ルされていることを確認します。
また、認証ドメインが正しいことを検証することもできます。これを検証するには、このメディア サーバーの[アクセス制御 (Access Control)]ホストプロパティを表示するか、bp.conf ファ イルの内容を cat コマンドで確認します。
ライブラリメッセージをロードでき ない場合
UNIX クライアントの検証
次の手順が UNIX クライアントを検証するために使われます。
■ UNIX クライアントのクレデンシャルを検証します。
■ 認証クライアントライブラリがインストールされているを検証します。
■ 正しい認証ドメインを検証します。
次の表に、UNIX クライアントの検証手順を示します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 171 アクセス管理のトラブルシューティング
表 6-11 UNIX クライアントの検証手順 説明
手順
クライアントのクレデンシャルが、正しいクライアント用であること、および正しいドメインから取得さ れていることを確認します。 bpnbat -whoami にクライアントのクレデンシャルファイルを指定 する -cf を指定して実行します。
例:
bpnbat -whoami -cf
/usr/openv/var/vxss/credentials/unix_client.company.com Name: unix_client.company.com
Domain: NBU_Machines@unix_master.company.com
Issued by: /CN=broker/OU=root@unix_master.company.com/O=vx Expiry Date: Oct 31 14:49:00 2007 GMT
Authentication method: Veritas Private Security Operation completed successfully.
表示されたドメインが NBU_Machines@unix_master.company.com でない場合、対象の名前 (unix_client) に対して bpnbat -addmachine を実行することを検討してください。 このコマン ドは、NBU_Machines ドメインとして機能する認証ブローカーのコンピュータ (unix_master) で 実行します。
次に、証明書を配置するコンピュータ(unix_client)上で、コマンド bpnbat -loginmachine を実行します。
UNIX クライアントのクレデ ンシャルの検証
クライアントで bpnbat -login を実行して、認証クライアントライブラリがインストールされてい ることを確認します。
bpnbat -login
Authentication Broker: unix_master.company.com Authentication port [Enter = default]:
Authentication type (NIS, NIS+, WINDOWS, vx, unixpwd): NIS Domain: min.com
Name: Smith Password:
Operation completed successfully.
認証クライアントライブラリ がインストールされているこ との検証
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 172 アクセス管理のトラブルシューティング
説明 手順
[アクセス制御 (Access Control)]ホストプロパティで、または cat(1) を使用して、クライアントの すべての定義済み認証ドメインが正しいことを確認します。 ドメインの綴りが正しいことを確認しま す。 また、各ドメインに一覧表示された認証ブローカーがそのドメイン形式に対して有効であるこ とを確認します。
また、このプロセスは、cat(1) を使用して bp.conf で確認することもできます。
cat bp.conf
SERVER = unix_master SERVER = unix_media CLIENT_NAME = unix_master
AUTHENTICATION_DOMAIN = min.com "default company NIS namespace"
NIS unix_master 0
AUTHENTICATION_DOMAIN = unix_master.company.com "unix_master password file" PASSWD unix_master 0
AUTHORIZATION_SERVICE = unix_master.company.com 0 USE_VXSS = AUTOMATIC
正しい認証ドメインの検証
UNIX マスターサーバーが存在する複合環境での検証項目
次の手順は、マスターサーバー、メディアサーバーおよびクライアントが正しく構成されて いることを確認するのに役立ちます。これらのマシンは、異機種間で NetBackup アクセ ス制御を使用する環境用に構成されている必要があります。マスターサーバーは UNIX マシンです。
■ 複合環境の UNIX マスターサーバーのマスターサーバーでの検証項目
■ 複合環境の UNIX マスターサーバーのメディアサーバーでの検証項目
■ 複合環境の UNIX マスターサーバーのクライアントでの検証項目 図 6-10に、UNIX マスターサーバーが存在する複合構成の例を示します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 173 アクセス管理のトラブルシューティング
図 6-10 UNIX マスターサーバーが存在する複合構成の例
win_media.min.com NBU マスターサーバー (UNIX) unix_master.min.com ルートブローカー
認証ブローカー 認可サービス 認証
サーバー 認可 サーバー
メディアサーバー (UNIX) unix_media.min.com 認証クライアント、認可クライアント
クライアント (UNIX) unix_client.min.com 認証クライアント
クライアント (Windows) win_client.min.com 認証クライアント
メディアサーバー (Windows) win_media.min.com 認証クライアント、認可クライアント NBU_Machines@unix_master.min.com という名前の Private
Veritas Product Authentication and Authorization ドメイン 次のクレデンシャルを含みます:
unix_master.min.com win_media.min.com win_client.min.com unix_media.min.com unix_client.min.com
認証ブローカー 認証
サーバー
win_client.min.com
unix_media.min.com
unix_client.min.com
Windows ホストは、
Windows 認証ブロー カーによって 認証されます
UNIX ホストは UNIX 認証ブローカーによって 認証されます
注意:
各マシンには、プライベートドメインアカウントがあります。これらのアカウントを使用することで、
NetBackup は相互に通信するマシンをより正確に識別することができます。
「メモ」を 参照してく ださい。
win_server.min.com ホスト (Windows) win_server.min.com
複合環境の UNIX マスターサーバーのマスターサーバーでの検 証項目
UNIX マスターサーバーの検証手順については、次の項を参照してください。
p.166 の 「UNIX マスターサーバーの検証」 を参照してください。
複合環境の UNIX マスターサーバーのメディアサーバーでの検証 項目
次の表に、複合環境の UNIX マスターサーバーのメディアサーバーでの検証手順を示 します。
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 174 アクセス管理のトラブルシューティング
表 6-12 複合環境の UNIX マスターサーバーの検証手順 説明
手順
UNIX メディアサーバーの検証手順については、次の項を参照してください。
p.169 の 「UNIX メディアサーバーの検証」 を参照してください。
UNIX メディアサーバーの検証
コンピュータの証明書が、UNIX マスターサーバー (unix_master) に存在する ルート認証ブローカーから取得されていることを確認します。
表示されない証明書がある場合、次のコマンドを実行して問題を解決します。
■ bpnbat -addmachine ルート認証ブローカー上で実行します。(この例で は、unix_master です。)
■ bpnbat -loginmachine (この例では、win_media です。) 例:
bpnbat -whoami -cf "C:¥Program
Files¥Veritas¥Netbackup¥var¥vxss¥credentials¥
win_media.company.com"
Name: win_media.company.com
Domain: NBU_Machines@unix_master.company.com Issued by: /CN=broker/OU=root@
unix_master.company.com/O=vx
Expiry Date: Oct 31 20:11:04 2007 GMT
Authentication method: Veritas Private Security Operation completed successfully.
Windows メディアサーバーの検証
bpnbaz -listgroups -CredFile を実行して、メディアサーバーが認可の 確認を実行できることを確認します。
例:
bpnbaz -listgroups -CredFile "C:¥Program Files¥Veritas¥Netbackup¥var¥vxss¥credentials¥
win_media.company.com"
NBU_User NBU_Operator NBU_Admin
NBU_Security Admin Vault_Operator
Operation completed successfully.
メディアサーバーの認可の確認が許可されていない場合、マスターサーバー上 で、対象のメディアサーバー名に対して bpnbaz -allowauthorization を 実行します。
認可の照合が許可されているメディアサー バーの検証
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 175 アクセス管理のトラブルシューティング
説明 手順
Windows メディアサーバーを検証します。また、Windows メディアサーバーで認 可の確認が行えることを間接的に検証します。 この検証によって、認証および認 可の両方の NetBackup Authentication and Authorization のクライアントライブ ラリが正しくインストールされていることを確認できます。ライブラリをロードできない ことを示すメッセージが表示され、前述のいずれかの手順が失敗した場合、認証 クライアントライブラリおよび認可クライアントライブラリがインストールされているこ とを確認します。
ライブラリメッセージをロードできない場合
このメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティを表示 することによって、認証ドメインが正しいことを検証します。
また、regedit (または regedit32) をメディアサーバー上で使用して次の場 所で直接確認できます。
HKEY_LOCAL_MACHINE¥Software¥Veritas¥NetBackup¥
CurrentVersion¥config¥AUTHENTICATION_DOMAIN 認証ドメインの検証
複合環境では、適切なドメイン形式が正しい認証ブローカーを指していることを特 に注意して確認してください。
[認証ドメイン (Authentication Domain)]タブの例は、Windows ブローカーに追 加できる利用可能な Windows の認証ドメインを示します。 この場合、システムが 両方とも Windows ベースであるため、複合環境ではありません。Windows ドメイ ンと UNIX ドメインの組み合わせがある場合は、ブローカーを最も有用な認証ドメ インに合わせることが重要です。
プラットフォームを最も有用な認証ドメインに一致させる方法の表示については、
図 6-11 クロスプラットフォームの認証ドメイン
第 6 章 NetBackup アクセス制御セキュリティ (NBAC) 176 アクセス管理のトラブルシューティング