NetBackup™ 安全和加密指南

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   (authldap.cpp) CAuthLDAP::validatePrpl - ldap_simple_bind_s() failed for user 'CN=Test User,OU=VTRSUsers,DC=VRTS,DC=com', error = -1, errmsg = Can’t contact LDAP server,9:debugmsgs,1

2. 检查以下任一方案是否成立，并执行为该方案提供的步骤。

   通过 vssat addldapdomain 提供的 LDAP 服务器 URL（-s 选项）可能是错误的	运行以下命令进行验证： ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> 示例： ldapsearch -H ldaps://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 -o nettimeout=60 TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized. ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
   服务器证书颁发者不是可信 CA	如果使用 ldaps 选项且可通过使用 ldapsearch 命令进行验证，则此选项适用： set env var LDAPTLS_CACERT to cacert.pem ldapsearch -H <LDAPS_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> cacert.pem 的文件路径： 在 Windows 上： <Install_path>\NetBackup\var\global\vxss\eab\data\systemprofile\certstore\trusted\pluggins\ldap\cacert.pem 在 UNIX 上： /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/certstore/trusted/pluggins/ldap/cacert.pem 示例： ldapsearch -H ldaps://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 -o nettimeout=60 TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized.. ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
   NetBackup Authentication Service (nbatd) 不信任对 LDAP 服务器安全证书进行签名的证书颁发机构 请参见NetBackup Authentication Service 信任的证书颁发机构。	使用 vssat addldapdomain 命令的 -f 选项将 CA 证书添加到 Authentication Service (nbatd) 信任存储区。
   为 LDAP 服务器提供的 TLS 密码套件列表可能是错误的	默认情况下，NetBackup Authentication Service 使用密码套件列表与 LDAP 服务器通信： “ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA” 运行以下命令以查看为 LDAP 服务器提供的 TLS 密码套件列表： 在 UNIX 上： /usr/openv/netbackup/sec/at/bin/vssat listldapdomains 在 Windows 上： Install_path\NetBackup\sec\at\bin\vssat listldapdomains 使用任何实用程序（如 sslscan）查找 LDAP 服务器支持的密码套件。 根据 LDAP 服务器的要求，通过运行以下命令修改 TLS 密码套件列表的值： 在 UNIX 上： /usr/openv/netbackup/sec/at/bin/vssregctl -s -f /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\LDAP_server_name" -k "SSLCipherSuite" -t string -v LDAP_server_supported_cipher_suites 在 Windows 上： Install_path\NetBackup\sec\at\bin\vssregctl -s -f Install_path\NetBackup\var\global\vxss\eab\data\systemprofile\VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\LDAP_server_name" -k "SSLCipherSuite" -t string -v LDAP_server_supported_cipher_suites 示例： /usr/openv/netbackup/sec/at/bin/vssregctl -s -f /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\example.veritas.com" -k "SSLCipherSuite" -t string -v "DHE-RSA-AES256-SHA:AES256-GCM-SHA384"
   为 LDAP 服务器禁用的 TLS 协议版本可能是错误的	默认情况下，NetBackup Authentication Service 使用 TLS 1.2 或更高版本的协议与 LDAP 服务器通信。版本低于 1.2 的 TLS 协议已禁用。 运行以下命令以查看为 LDAP 服务器禁用的 TLS 协议版本。 在 UNIX 上： /usr/openv/netbackup/sec/at/bin/vssat listldapdomains 在 Windows 上： Install_path\NetBackup\sec\at\bin\vssat listldapdomains 使用给定命令修改为 LDAP 服务器禁用的 TLS 协议版本的值。指定版本和所有早期版本的 TLS 协议都将被禁用。支持的值包括：SSLv2、SSLv3、TLSv1 和 TLSv1.1。 运行以下命令： 在 UNIX 上： /usr/openv/netbackup/sec/at/bin/vssregctl -s -f /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\LDAP_server_name" -k "DisableTLSProtocol" -t string -v TLS_protocol_version_to_be_disabled 在 Windows 上： Install_path\NetBackup\sec\at\bin\vssregctl -s -f Install_path\NetBackup\var\global\vxss\eab\data\systemprofile\VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\LDAP_server_name" -k "DisableTLSProtocol" -t string -v TLS_protocol_version_to_be_disabled 示例： /usr/openv/netbackup/sec/at/bin/vssregctl -s -f /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/VRTSatlocal.conf -b "Security\Authentication\Authentication Broker\AtPlugins\ldap\ServerInfos\example.veritas.com" -k "DisableTLSProtocol" -t string -v “TLSv1”

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - ldap_simple_bind_s() failed for user 'CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com', error = 49, errmsg = Invalid credentials,9:debugmsgs,1

2. 检查以下方案是否成立，并执行为该方案提供的步骤。

   使用 vssat addldapdomain 命令添加 LDAP 域时提供的管理员用户 DN 或密码无效

   运行以下命令进行验证： ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> 示例： ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 –o nettimeout=60 ldap_bind: Invalid credentials (49)

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - ldap_search_s() error = 10, errmsg = Referral,9:debugmsgs,1 CAuthLDAP::validatePrpl - ldap_search_s() error = 34, errmsg = Invalid DN syntax,9:debugmsgs,1

2. 如果用户基本 DN（-u 选项）或组基本 DN（-g 选项）的值不正确，则可能会在日志中看到错误。

   运行以下命令进行验证：

   示例：

   ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ****** -b "OU=VRTSUsers,DC=VRTS,DC=con" "(&(cn=test user)(objectClass=user))"

   ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ****** -b "VRTS" "(&(cn=test user)(objectClass=user))"

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validateGroup - search returned '2' entries for group name 'team_noone', even with referrals set to OFF,9:debugmsgs,1

2. 如果用户搜索属性（-a 选项）和组搜索属性（-y 选项）不具有分别对应于现有用户基本 DN 和组基本 DN 的唯一值，则此选项适用。

   使用 ldapsearch 命令验证现有基本 DN 的匹配条目数。

   ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>

   示例：

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - user ‘test user’ NOT found,9:debugmsgs,4 CAuthLDAP::validateGroup - group 'test group' NOT found,9:debugmsgs,4

2. 如果用户或组存在于 LDAP 域中，但 vssat validateprpl 或 vssat validategroup 命令失败并显示此错误，则使用以下命令验证当前基本 DN 中是否存在用户或组（-u 和 -g 选项）。

   ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>