Veritas NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器与 OpsCenter 服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制 (RBAC)
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 动态数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
Windows 的主服务器验证点
下列主题介绍了以下过程:
验证 Windows 主服务器设置。
验证允许哪些计算机执行授权查找。
验证是否已正确配置数据库。
验证 nbatd 和 nbazd 进程是否正在运行。
验证是否已正确配置主机属性。
下表介绍了 Windows 的主服务器验证过程。
表:Windows 的主服务器验证过程
|
过程 |
描述 |
|---|---|
|
验证 Windows 主服务器设置 |
您可以确定在其中注册主机的域(主身份验证代理所在的域)。或者,可以确定证书代表的计算机的名称。运行带有 bpnbat 的 -whoami 并指定主机凭据文件。服务器凭据位于 例如: bpnbat -whoami -cf
"c:\Program
Files\Veritas\Netbackup\var\vxss\credentials\
win_master"
Name: win_master.company.com
Domain: NBU_Machines@win_master.company.com
Issued by: /CN=broker/OU=root@win_master.company.com/
O=vx
Expiry Date: Oct 31 20:17:51 2007 GMT
Authentication method: Veritas Private Security
Operation completed successfully.
如果列出的域不是 NBU_Machines@win_master.company.com,请考虑对怀疑有问题的名称 (win_master) 运行 bpnbat -addmachine。此命令在包含服务于 NBU_Machines 域 (win_master) 的身份验证代理的计算机上运行。 然后,在需要放置证书的计算机 (win_master) 上,运行: bpnbat -loginmachine 注意: 在确定用户的凭据何时失效时,请记住,输出将使用 GMT 显示失效时间,而不是使用本地时间显示失效时间。 注意: 对于此验证部分中的其余过程,假设命令是从控制台窗口执行的。且怀疑有问题的用户标识已通过该窗口运行 bpnbat -login。该用户的标识是 NBU_Security Admin 的成员。该标识通常是设置安全时使用的第一个标识。 |
|
验证身份验证代理中存在哪些计算机。 |
要验证身份验证代理中存在哪些计算机,请以管理员组成员身份登录并运行以下命令: bpnbat -ShowMachines 此命令显示已为其运行 bpnbat -AddMachine 的计算机。 注意: 如果主机不在列表中,请从主服务器运行 bpnbat -AddMachine。然后从怀疑有问题的主机运行 bpnbat -loginMachine。 |
|
验证允许哪些计算机执行授权查找 |
要验证允许哪些计算机执行授权查找,请以管理员组成员身份登录并运行以下命令: bpnbaz -ShowAuthorizers 此命令表明允许 win_master 和 win_media(主服务器和介质服务器)执行授权查找。请注意,两个服务器是基于同一专用域(域类型 vx)NBU_Machines@win_master.company.com 进行身份验证的。 注意: 由本地管理员或由 root 用户运行此命令。本地管理员必须是 NBU_Security Admin 用户组的成员。 bpnbaz -ShowAuthorizers
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@win_master.company.com
Name: win_master.company.com
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@win_master.company.com
Name: win_media.company.com
Operation completed successfully.
如果主服务器或介质服务器不在获得授权的计算机列表中,请运行 bpnbaz -allowauthorization server_name 添加缺少的计算机。 |
|
确保数据库已正确配置 |
为确保数据库已正确配置,请运行 bpnbaz -listgroups: bpnbaz -listgroups NBU_Operator NBU_Admin NBU_SAN Admin NBU_User NBU_Security Admin Vault_Operator Operation completed successfully. 如果未显示组,或者 bpnbaz -listmainobjects 未返回数据,则可能需要运行 bpnbaz -SetupSecurity。 |
|
验证 nbatd 和 nbazd 进程是否正在运行 |
使用 Windows 任务管理器来确保 nbatd.exe 和 nbazd.exe 正在指定的主机上运行。必要时启动它们。 |
|
验证是否已正确配置主机属性 |
在访问控制主机属性中,验证是否已正确设置 NetBackup Authentication and Authorization 属性。(该设置应为“自动”或“必需”,具体取决于所有计算机是否都使用“NetBackup Authentication and Authorization”。如果并非所有计算机都使用“NetBackup Authentication and Authorization”,则应将其设置为“自动”。) 此外,通过在注册表中以下位置查看 USE_VXSS,也可以验证主机属性: HKEY_LOCAL_MACHINE\SOFTWARE\Veritas\NetBackup\ CurrentVersion\config. 图:主机属性设置 显示“身份验证”域选项卡上的主机属性设置的示例。 在“访问控制”主机属性中,验证列出的身份验证域的拼写是否正确,以及这些域是否指向了正确的服务器(有效的身份验证代理)。如果所有域都是基于 Windows 的,则它们都应指向运行身份验证代理的 Windows 计算机。 |
下图显示了“身份验证”域选项卡上的主机属性设置。
