Guide de sécurité et de chiffrement de Veritas NetBackup™

Last Published:
Product(s): NetBackup (8.1.1)
  1. Augmentation de la sécurité dans NetBackup
    1.  
      Sécurité et chiffrement NetBackup
    2.  
      Niveaux de mise en place de sécurité de NetBackup
    3.  
      Sécurité de niveau mondial
    4.  
      Sécurité de niveau d'entreprise
    5.  
      présentation de sécurité de Centre de données-Niveau
    6.  
      NetBackup Access Control (NBAC)
    7.  
      Niveaux mondial, de l'entrerprise et de centre de données combinés
    8.  
      Types d'implémentation de sécurité NetBackup
    9.  
      Sécurité du système d'exploitation
    10.  
      Failles de sécurité dans NetBackup
    11.  
      Sécurité standard de NetBackup
    12.  
      Sécurité MSEO (Media Server Encryption Option)
    13.  
      Sécurité du chiffrement côté client
    14.  
      NBAC sur le serveur maître, le serveur de médias et la sécurité d'interface utilisateur graphique
    15.  
      Sécurité complète NBAC
    16.  
      Sécurité NetBackup intégrale
  2. Modèles de déploiement de la sécurité
    1.  
      Groupes de travail
    2.  
      Data centers uniques
    3.  
      Centres de données multiples
    4.  
      Groupe de travail avec NetBackup
    5.  
      Data center unique avec logiciel NetBackup standard
    6.  
      Data center unique avec Media Server Encryption Option (MSEO)
    7.  
      Data center unique avec chiffrement côté client
    8.  
      Data center unique avec NetBackup Access Control sur les serveurs maîtres et de médias
    9.  
      Data center unique avec transport NetBackup Access Control
    10.  
      Data center unique avec application de toutes les fonctions de sécurité
    11.  
      Data center multiple avec NetBackup standard
    12.  
      Data center multiple avec Media Server Encryption Option (MSEO)
    13.  
      Centre de données multiple avec chiffrement côté client
    14.  
      Data center multiple avec NetBackup Access Control sur les serveurs maîtres et de médias
    15.  
      Data center multiple avec NBAC complet
    16.  
      Data center multiple avec toute la sécurité de NetBackup
  3. Sécurité des ports
    1.  
      Ports TCP/IP de A propos de NetBackup
    2. A propos des daemons NetBackup, ports et communication
      1.  
        Ports standard de NetBackup
      2.  
        Ports sortants de serveur maître de NetBackup
      3.  
        Ports sortants de serveur de médias de NetBackup
      4.  
        Ports sortants de serveur de gestion de médias (EMM) d'entreprise de NetBackup
      5.  
        Ports sortants client
      6.  
        Ports sortants de serveur Java
      7.  
        Ports sortants de la console Java
      8.  
        A propos de l'utilisation de port MSDP
      9.  
        Au sujet de l'utilisation de port de cloud
      10. Les informations supplémentaires de port pour les produits qui fonctionnent avec NetBackup
        1.  
          À propos des ports de communication et des considérations de pare-feu dans OpsCenter
        2.  
          Ports requis pour communiquer avec les produits de sauvegarde
        3.  
          Navigateur web pour lancer l'interface utilisateur OpsCenter
        4.  
          À propos de la communication entre l'interface utilisateur OpsCenter et le logiciel serveur OpsCenter
        5.  
          Communication du serveur OpsCenter avec le serveur maître NetBackup (NBSL)
        6.  
          À propos des protocoles d'interruption SNMP
        7.  
          À propos de la communication entre OpsCenter et la base de données Sybase
        8.  
          À propos de la communication par courrier électronique dans OpsCenter
    3. À propos de la configuration des ports
      1.  
        Activant ou désactivant des affectations aléatoires de port
      2.  
        Modification des informations de port dans les fichiers de configuration
      3.  
        Mettre à jour des possibilités de connexion client
      4.  
        Mise à jour des paramètres de port de Media Manager dans le fichier vm.conf
    4.  
      Conditions de port pour des sauvegardes de NDMP
    5.  
      Problèmes connus du pare-feu produits en utilisant NetBackup avec de tiers produits robotiques
  4. Audit des opérations NetBackup
    1.  
      À propos de l'audit de NetBackup
    2.  
      Affichage des paramètres d'audit actuels
    3.  
      Configuration de l'audit sur un serveur maître NetBackup
    4.  
      Identité d'utilisateur dans le rapport d'audit
    5.  
      À propos de l'audit amélioré
    6.  
      Activation de l'audit amélioré
    7. Configuration d'audit amélioré
      1.  
        Connexion à un serveur de médias avec l'audit amélioré
      2.  
        Modification d'un serveur sur les domaines NetBackup
      3.  
        Conditions requises en cas d'utilisation de Changer de serveur avec NBAC ou l'audit amélioré
    8.  
      Désactivation de l'audit amélioré
    9.  
      Audit des modifications de propriété d'hôte
    10.  
      Conservation et sauvegarde des enregistrements du journal d'audit
    11.  
      Affichage du rapport d'audit
    12.  
      Utilisation de la ligne de commande -reason ou de l'option -r
    13.  
      Comportement du journal nbaudit
    14.  
      Notification d'alerte d'audit pour les échecs d'audit
  5. Sécurité des contrôles d'accès
    1.  
      Contrôle d'accès dans NetBackup
    2.  
      Gestion des utilisateurs
    3.  
      Authentification utilisateur
    4.  
      Impact de l'autorisation du contrôle d'accès via l'audit amélioré sur l'interface Java
  6. Sécurité de NetBackup Access Control (NBAC)
    1.  
      À propos de l'utilisation de NBAC (NetBackup Access Control)
    2.  
      Administration de la gestion de l'accès NetBackup
    3.  
      A propose de la configuration de NetBackup Access Control (NBAC)
    4. Configuration de NBAC (NetBackup Access Control)
      1.  
        Présentation générale de la configuration de NBAC
      2.  
        Configuration de NBAC (NetBackup Access Control) sur les serveurs maîtres autonomes
      3.  
        Installation du serveur maître NetBackup hautement disponible sur un cluster
      4.  
        Configuration de NBAC (NetBackup Access Control) sur un serveur maître en cluster
      5.  
        Configuration de NBAC (NetBackup Access Control) sur des serveurs de médias
      6.  
        Installation et configuration du contrôle d'accès sur des clients
      7.  
        Ajout de bases de données d'authentification et d'autorisation dans les sauvegardes automatiques de catalogue NetBackup
      8.  
        Résumé des commandes de configuration de NBAC
      9.  
        Unification des infrastructures de gestion NetBackup à l'aide de la commande setuptrust
      10.  
        Utilisation de la commande setuptrust
    5. Configuration des propriétés de l'hôte de contrôle d'accès pour le serveur maître et de médias
      1.  
        Onglet Domaine d'authentification
      2.  
        service d'autorisation, onglet
      3.  
        Onglet Attributs réseau
    6. Boîte de dialogue Propriétés d'hôte du contrôle d'accès pour le client
      1.  
        Onglet Domaine d'authentification pour le client
      2.  
        Onglet Attributs réseau pour le client
    7. Dépannage de la gestion de l'accès
      1.  
        Résolution des problèmes NBAC
      2.  
        Rubriques de configuration et de dépannage pour NetBackup Authentication and Authorization
      3. Points de vérification de Windows
        1.  
          Points de vérification du serveur maître pour Windows
        2.  
          Points de vérification du serveur de médias pour Windows
        3.  
          Points de vérification clients pour Windows
      4. Points de vérification UNIX
        1.  
          Vérification de serveur maître UNIX
        2.  
          Vérification de serveur de médias UNIX
        3.  
          Vérification de client UNIX
      5. Points de vérification dans un environnement mixte avec un serveur maître UNIX
        1.  
          Vérification de serveur maître pour un serveur maître mixte UNIX
        2.  
          Points de vérification de serveur de médias pour un serveur maître mixte UNIX
        3.  
          Points de vérification client pour un serveur maître mixte UNIX
      6. Points de vérification dans un environnement mixte avec un serveur maître Windows
        1.  
          Points de vérification du serveur maître pour un serveur maître mixte UNIX
        2.  
          Points de vérification du serveur maître pour un serveur maître mixte Windows
        3.  
          Points de vérification de client pour un serveur maître mixte Windows
      7.  
        A propos de l'utilitaire nbac_cron
      8.  
        Utilisation de l'utilitaire nbac_cron
    8.  
      Utilisation de l'utilitaire Gestion de l'accès
    9. Détermination de l'accès à NetBackup
      1.  
        Utilisateurs individuels
      2.  
        Groupes d'utilisateurs
      3.  
        Groupes d'utilisateurs NetBackup par défaut
      4. Configuration des groupes d'utilisateurs
        1.  
          Création d'un groupe d'utilisateurs
        2.  
          Création d'un groupe d'utilisateurs en copiant un groupe d'utilisateurs existant
        3.  
          Attribution d'un nom à un groupe d'utilisateurs
        4.  
          Ajout d'un nouvel utilisateur au groupe d'utilisateurs
      5. A propos de la définition d'un groupe d'utilisateurs et des utilisateurs
        1.  
          Connexion en tant que nouvel utilisateur
        2.  
          Assignation d'un utilisateur à un groupe d'utilisateurs
        3.  
          A propos des objets d'autorisation et des autorisations
    10. Affichage des autorisations d'utilisateur particulières des groupes d'utilisateurs NetBackup
      1.  
        Octroi des autorisations
      2.  
        Objets d'autorisation
      3.  
        Autorisations de l'objet d'autorisation Médias
      4.  
        Autorisations de l'objet d'autorisation Politique
      5.  
        Autorisations de l'objet d'autorisation Lecteur
      6.  
        Autorisations de l'objet d'autorisation Rapport
      7.  
        Autorisations de l'objet d'autorisation NBU_Catalog
      8.  
        Autorisations de l'objet d'autorisation Robot
      9.  
        Autorisations d'objet d'autorisation d'unité de stockage
      10.  
        Autorisations de l'objet d'autorisation DiskPool
      11.  
        Autorisations de l'objet d'autorisation BUAndRest (Sauvegarde et restauration)
      12.  
        Autorisations de l'objet d'autorisation Travail
      13.  
        Autorisations de l'objet d'autorisation Service
      14.  
        Autorisations de l'objet d'autorisation Propriétés d'hôte
      15.  
        Autorisations de l'objet d'autorisation Licence
      16.  
        Autorisations de l'objet d'autorisation Groupe de volumes
      17.  
        Autorisations de l'objet d'autorisation Pool de volumes
      18.  
        Autorisations de l'objet d'autorisation DevHost (Hôte de périphérique)
      19.  
        Autorisations de l'objet d'autorisation Sécurité
      20.  
        Autorisations de l'objet d'autorisation Serveur FAT
      21.  
        Autorisations de l'objet d'autorisation Client FAT
      22.  
        Autorisations de l'objet d'autorisation Centre de sauvegarde
      23.  
        Autorisations de l'objet d'autorisation Groupe de serveurs
      24.  
        Autorisations de l'objet d'autorisation du groupe de système de gestion des clés (Kms)
    11.  
      Mise à niveau de NBAC (NetBackup Access Control)
    12.  
      Mise à niveau de NetBackup en présence d'une ancienne version de NetBackup qui utilise un courtier racine installé sur un ordinateur distant
  7. Certificats de sécurité dans NetBackup
    1.  
      Présentation des certificats de sécurité dans NetBackup
    2.  
      Communication sécurisée dans NetBackup
    3. À propos des utilitaires de gestion de la sécurité
      1.  
        Activité de connexion
    4. À propos des événements d'audit
      1.  
        Affichage des événements d'audit
      2.  
        Onglet Événements d'audit
      3.  
        Affichage des détails des événements d'audit
      4.  
        Boîte de dialogue Détails des événements d'audit
      5.  
        Affichage de l'état des événements d'audit
      6.  
        Dépannage des problèmes d'audit liés à l'onglet Historique d'accès
    5. À propos de la gestion des hôtes
      1.  
        Onglet Hôtes
      2.  
        Ajout de mappages d'ID d'hôte à des noms d'hôte
      3.  
        Boîte de dialogue Ajouter ou supprimer des mappages d'hôtes
      4.  
        Suppression de mappages d'ID d'hôte vers le nom d'hôte
      5.  
        Onglet Mappages pour approbation
      6.  
        Affichage des mappages découverts automatiquement
      7.  
        Boîte de dialogue Détails des mappages
      8.  
        Approbation des mappages d'ID d'hôte vers le nom d'hôte
      9.  
        Rejet des mappages d'ID d'hôte vers le nom d'hôte
      10. Ajout de mappages partagés ou de cluster
        1.  
          Scénarios de mappages partagés ou de cluster
      11.  
        Boîte de dialogue Ajouter des mappages partagés ou de cluster
      12.  
        Réinitialisation des attributs d'hôte NetBackup
      13. Autoriser ou ne pas autoriser le renouvellement de certificat automatique
        1.  
          Configuration de la validité du paramètre autoreissue pour un hôte
      14.  
        Ajout ou suppression d'un commentaire pour un hôte
    6. À propos des paramètres de sécurité globale
      1.  
        Paramètres de communication sécurisée
      2.  
        Désactivation de la communication non sécurisée
      3.  
        À propos de la communication non sécurisée avec les hôtes 8.0 et versions antérieures
      4.  
        Communication avec un hôte 8.0 ou une version antérieure dans plusieurs domaines NetBackup
      5.  
        Mappage automatique des ID d'hôte vers les noms d'hôte et adresses IP
      6.  
        À propos des paramètres de reprise après incident
      7.  
        Définition d'une phrase de passe pour chiffrer des packages de reprise après incident
      8.  
        Packages de reprise après incident
    7. À propos des certificats basés sur le nom d'hôte
      1.  
        Déploiement de certificats basés sur le nom d'hôte
    8. À propos des certificats basés sur l'ID d'hôte
      1.  
        Conditions requises de connexion web pour les options de commande nbcertcmd
      2. À l'aide de l'utilitaire de gestion de certificat pour émettre et déployer des certificats basés sur l'ID d'hôte
        1.  
          Affichage des détails de certificat basé sur l'ID d'hôte
      3. À propos des niveaux de sécurité de déploiement de certificat
        1.  
          Configuration des niveaux de sécurité de déploiement de certificat
      4.  
        Déploiement automatique du certificat basé sur l'ID de l'hôte
      5.  
        Déploiement des certificats basés sur l'ID de l'hôte
      6.  
        Déploiement asynchrone de certificats basés sur l'ID de l'hôte
      7.  
        Implication du décalage d'horaire sur la validité du certificat
      8. Installation de la confiance avec le serveur maître (Autorité de certification)
        1.  
          Recherche et communication de la signature de l'autorité de certification
      9.  
        Forcer ou remplacer le déploiement d'un certificat
      10.  
        Conservation des certificats basés sur l'ID d'hôte lors de la réinstallation de NetBackup sur des hôtes non maîtres
      11.  
        Déploiement de certificats sur un client qui n'a aucune connectivité avec le serveur maître
      12.  
        À propos de l'expiration et du renouvellement des certificats basés sur l'ID d'hôte
      13.  
        Suppression des certificats sensibles et des clés des serveurs de médias et des clients
      14.  
        Nettoyage des informations de certificat basé sur un ID d'hôte à partir d'un hôte avant de cloner une machine virtuelle
      15. Renouvellement des certificats basés sur l'ID d'hôte
        1.  
          Création d'un jeton de renouvellement
        2.  
          Modification de la paire de clés pour un hôte
    9. À propos de la gestion des jetons pour les certificats basés sur l'ID d'hôte
      1.  
        Création de jetons d'autorisation
      2.  
        Suppression de jetons d'autorisation
      3.  
        Affichage des détails de jeton d'autorisation
      4.  
        Jetons d'autorisation expirés et nettoyage
    10. Liste de révocations des certificats basés sur l'ID d'hôte
      1.  
        Actualisation de la liste de révocation de certificats sur le serveur maître
      2.  
        Actualisation de la liste de révocation de certificats sur un hôte NetBackup
    11. Révocation de certificats basés sur l'ID d'hôte
      1.  
        Suppression de l'approbation entre un hôte et un serveur maître
      2.  
        Révoquer un certificat basé sur l'ID d'hôte
      3.  
        Détermination de l'état du certificat d'un hôte NetBackup
      4.  
        Obtenir la liste des hôtes NetBackup ayant des certificats révoqués
    12.  
      Suppression de certificats basés sur l'ID d'hôte
    13. Déploiement de certificat de sécurité dans une installation NetBackup en cluster
      1. Déploiement d'un certificat basé sur un ID d'hôte sur un hôte NetBackup en cluster
        1.  
          Déploiement de certificat basé sur un ID d'hôte sur le nœud de serveur maître actif
        2.  
          Déploiement de certificat basé sur l'ID d'hôte sur les nœuds du serveur maître inactif
      2.  
        Déploiement de certificats basés sur un hôte sur des nœuds de cluster
      3.  
        Révocation d'un certificat basé sur un ID d'hôte pour une configuration NetBackup en cluster
      4.  
        Déploiement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster à l'aide d'un jeton de renouvellement
      5.  
        Création d'un jeton de renouvellement pour un programme d'installation de NetBackup en cluster
      6.  
        Renouvellement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster
      7.  
        Affichage des informations de certificat pour une configuration NetBackup en cluster
      8.  
        Suppression des certificats de l'autorité de certification à partir de l'installation d'un NetBackup en cluster
      9.  
        Génération d'un certificat sur un serveur maître en cluster après une installation de reprise après incident
    14.  
      Communication entre un client NetBackup situé dans une zone démilitarisée et un serveur maître, via un tunnel HTTP
    15.  
      Ajout manuel d'un hôte NetBackup
  8. Sécurité du chiffrement des données au repos
    1.  
      Terminologie de chiffrement de données au repos
    2.  
      Considérations de chiffrement des données au repos
    3.  
      Questions importantes sur la sécurité du chiffrement
    4.  
      Comparaison des options de chiffrement
    5. A propos du chiffrement de client NetBackup
      1.  
        Conditions d'installation requises pour la sécurité par chiffrement
      2. Exécution d'une sauvegarde de chiffrement
        1.  
          Choix du chiffrement pour une sauvegarde
        2.  
          Processus standard de sauvegarde de chiffrement
        3.  
          Processus hérité de sauvegarde de chiffrement
      3.  
        Processus de restauration du chiffrement standard NetBackup
      4.  
        Processus de restauration du chiffrement hérité de NetBackup
    6. Configuration du chiffrement standard sur des clients
      1.  
        Gestion des options standard de chiffrement
      2.  
        Gestion du fichier de clé de chiffrement de NetBackup
      3. Configuration de chiffrement standard à partir du serveur
        1.  
          Création des fichiers de clés de chiffrement sur les clients
        2.  
          Création de fichiers de clés
        3.  
          Pratiques d'excellence pour la restauration de fichiers de clés
        4.  
          Conservation de manuel pour protéger les phrases de passe des fichiers de clés
        5.  
          Sauvegarde automatique du fichier de clés
      4.  
        Restaurer un fichier de sauvegarde chiffré sur un autre client
      5.  
        Configuration du chiffrement standard directement sur les clients
      6.  
        Définition de l'attribut standard de chiffrement dans les politiques
      7.  
        Modification des paramètres de chiffrement client à partir du serveur NetBackup
    7. Configuration du chiffrement hérité sur les clients
      1. A propos de la configuration du chiffrement hérité à partir du client
        1.  
          Gestion des fichiers de clé de chiffrement hérités
      2. Configuration du chiffrement hérité du serveur
        1.  
          Transmission de la configuration de chiffrement hérité aux clients
        2.  
          Transfert des phrases de passe de chiffrement hérité vers des clients
      3.  
        Restauration d'une sauvegarde chiffrée héritée créée sur un autre client
      4.  
        Définition d'un attribut de chiffrement hérité dans des politiques
      5.  
        Modifier les paramètres client de chiffrement hérités du serveur
      6. Degré de sécurité de fichier de clé hérité supplémentaire pour clients UNIX
        1.  
          Exécuter la commande bpcd -keyfile
        2.  
          Interrompez bpcd sur les clients UNIX
    8.  
      Chiffrement de serveur de médias
  9. Gestion des clés des données au repos
    1.  
      Normes FIPS (Federal Information Processing Standards)
    2.  
      À propos de KMS conforme à la norme FIPS
    3. Service Gestion des clés (Key Management Service, KMS)
      1.  
        Considérations de KMS
      2.  
        Principes de fonctionnement de KMS
      3.  
        A propos de l'écriture sur une bande chiffrée
      4.  
        A propos de la lecture de bande chiffrée
      5.  
        Terminologie de KMS
    4. Installation du KMS
      1.  
        Utiliser le KMS avec NBAC
      2.  
        Installation de KMS avec mise en cluster HA
      3.  
        Activation l'utilisation du cluster avec service de KMS
      4.  
        Activer la surveillance du service de KMS
      5.  
        Désactivation de la surveillance du service KMS
      6.  
        Supprimer le service KMS de la liste de contrôle
    5. Configuration de KMS
      1.  
        Création de la base de données de clés
      2. Groupes de clés et enregistrements de clé
        1.  
          Création de groupes de clés
        2.  
          Création d'enregistrements de clé
      3. Présentation des états d'enregistrement de clé
        1.  
          Considérations d'états d'enregistrement de clé
        2.  
          État d'enregistrement de clé prelive
        3.  
          État d'enregistrement de clé actif
        4.  
          État d'enregistrement de clé inactif
        5.  
          État d'enregistrement de clé obsolète
        6.  
          État d'enregistrement de clé terminé
      4.  
        Sauvegarde des fichiers de base de données KMS
      5.  
        Récupération de KMS en restaurant tous les fichiers de données
      6.  
        Récupération de KMS en restaurant seulement le fichier de données de KMS
      7.  
        Récupération de KMS en régénérant la clé de chiffrement des données
      8.  
        Problèmes de sauvegarde des fichiers de données KMS
      9.  
        Solutions pour sauvegarder les fichiers de données KMS
      10.  
        Création d'un enregistrement de clé
      11.  
        Liste des clés d'un groupe de clés
      12. Configuration de NetBackup pour fonctionner avec le KMS
        1.  
          NetBackup et enregistrements de clé de KMS
        2.  
          Exemple de configuration de NetBackup pour utiliser le chiffrement de bande
    6. Utilisation de KMS pour le chiffrement
      1.  
        Importation des images chiffrées par KMS
      2.  
        Exemple d'exécution d'une sauvegarde sur bande chiffrée
      3.  
        Exemple de vérification d'une sauvegarde de chiffrement
    7. Éléments constitutifs d'une base de données KMS
      1.  
        Création d'une base de données vide de KMS
      2.  
        Importance de l'ID de KPK et de l'ID de HMK
      3.  
        Mise à jour périodique du HMK et du KPK
      4.  
        Sauvegarde des clés de keystore et d'administrateur de KMS
    8. Commandes de l'interface de ligne de commande (CLI)
      1.  
        Aide d'utilisation de l'interface de ligne de commande
      2.  
        Créer un nouveau groupe de clés
      3.  
        Créer une clé
      4.  
        Modifier les attributs du groupe de clés
      5.  
        Modifier les attributs de clé
      6.  
        Obtenir les informations des groupes de clés
      7.  
        Obtenir les informations des clés
      8.  
        Suppression d'un groupe de clés
      9.  
        Supprimer une clé
      10.  
        Récupérer une clé
      11. A propos de l'exportation et de l'importation de clés à partir de la base de données KMS
        1. Exportation des clés
          1.  
            Résolution des erreurs d'exportation courantes
        2. Importer des clés
          1.  
            Résolution des erreurs d'importation courantes
      12.  
        Modifier la clé machine d'hôte (HMK)
      13.  
        Obtention de l'ID de clé machine d'hôte (HMK)
      14.  
        Obtention de l'ID de clé de protection de clé (KPK)
      15.  
        Modifier la clé de protection de clé (KPK)
      16.  
        Obtention des statistiques du fichier keystore
      17.  
        Suspension de la base de données KMS
      18.  
        Annulation de la suspension de la base de données KMS
      19.  
        Options de création de clé
    9. Dépannage du KMS
      1.  
        Solution pour des sauvegardes n'effectuant pas de chiffrement
      2.  
        Solution pour les restaurations n'effectuant pas de déchiffrement
      3.  
        Exemple de dépannage - sauvegarde avec aucun enregistrement de clé active
      4.  
        Exemple de dépannage - restauration avec un état d'enregistrement de clé inexact
  10. Régénération de clés et de certificats
    1.  
      Régénération des clés et des certificats
    2.  
      Régénération des clés et des certificats du courtier d'authentification NetBackup
    3.  
      Régénération des clés et des certificats d'identité d'hôte
    4.  
      Régénération des clés et des certificats de service web
    5.  
      Régénération des clés et des certificats nbcertservice
    6.  
      Régénération des clés et des certificats tomcat
    7.  
      Régénération des clés JWT
    8.  
      Régénération de certificats de passerelle NetBackup
    9.  
      Régénération de certificats de magasin d'approbation Web
    10.  
      Régénération des certificats de plug-in vCenter VMware
    11.  
      Régénération des certificats de session de la console d'administration OpsCenter
    12.  
      Régénération des clés et des certificats OpsCenter
    13.  
      Régénération du fichier de clé de chiffrement NetBackup
  11. Compte de services Web NetBackup
    1.  
      Compte de services web NetBackup
    2.  
      Modification du compte utilisateur du service web

Rubriques de configuration et de dépannage pour NetBackup Authentication and Authorization

Le tableau suivant présente des rubriques utiles pour la configuration et le dépannage pour de NetBackup Authentication and Authorization. En outre, le tableau contient également des informations sur quelques problèmes connus et des astuces pour les résoudre :

Tableau : Rubriques et astuces de configuration et de dépannage pour NetBackup Authentication and Authorization

Rubrique

Astuces de configuration

Vérification des paramètres de serveur maître

L'exécution de la commande bpnbat -whoami et la spécification des informations d'authentification d'ordinateur indiquent dans quel domaine un hôte est enregistré et le nom de l'ordinateur que le certificat représente.

   bpnbat -whoami -cf 
    "c:\program 
    Files\veritas\netbackup\var\vxss\credentials\
    master.company.com
    "Name: master.company.com
    Domain: NBU_Machines@master.company.com
    Issued by: /CN=broker/OU=root@master.company.com/O=vx
    Expiry Date: Oct 31 20:17:51 2007 GMT
    Authentication method: Veritas Private Security
    Operation completed successfully.

Si le domaine listé n'est pas NBU_Machines@master.company.com, considérez l'exécution de la commande bpnbat -addmachine pour le nom en question (maître). La commande est exécutée sur l'ordinateur qui sert le domaine NBU_Machines (maître).

Puis, sur l'ordinateur où vous voulez placer les informations d'authentification, exécutez : bpnbat -loginmachine

Établissement des informations d'authentification racine

Si vous avez des problèmes pour installer le serveur d'authentification ou le serveur d'autorisation et que l'application se plaint à propos de vos habilitations comme racine : assurez-vous que la variable environnementale $HOME est correcte pour racine.

Utilisez la commande suivante pour découvrir la valeur actuelle :

    echo $HOME

Cette valeur doit être conforme au répertoire d'origine de la racine, qui se trouve généralement dans le fichier /etc/passwd.

Notez qu'en basculant sur la racine, vous pouvez devoir utiliser :

    su -

au lieu seulement de su pour conditionner correctement les variables d'environnement de la racine.

Message d'informations d'authentification expirées

Si vos informations d'authentification sont arrivées à expiration ou sont incorrectes, vous pouvez recevoir le message suivant lors de l'exécution des commandes bpnbaz ou bpnbat :

Supplied credential is expired or incorrect. Please
reauthenticate and try again.

Exécutez bpnbat -Login pour mettre à jour les informations d'authentification arrivées à expiration.

Journaux de débogage utiles

Les journaux suivants sont utiles pour déboguer le NBAC :

Sur le serveur maître : admin, bpcd, bprd, bpdbm, bpjobd, bpsched

Sur le client : admin, bpcd

Contrôle d'accès : nbatd, nbazd.

Consultez Guide de dépannage NetBackup pour des instructions sur la consignation appropriée.

Désinstallation des services partagés de NetBackup Authentication and Authorization

Sous UNIX :

En utilisant installics, sélectionnez l'option pour désinstaller l'authentification et l'autorisation. Les répertoires suivants doivent être vides après la désinstallation :

/opt/VRTSat et /opt/VRTSaz

/etc/vx/vss
/var/VRTSat and /var/VRTSaz

Sous Windows :

Utilisez le volet Ajout/Suppression de programmes du menu Contrôle pour désinstaller l'authentification et l'autorisation. Le répertoire \Veritas\Security doit être vide après la désinstallation.

Décrochage d'AT partagé de PBX

Quand NetBackup est mis à niveau et que NBAC a déjà été activé sur une installation précédente, l'ancien AT partagé devrait être décroché de PBX.

Pour décrocher l'AT partagé, exécutez la commande suivante.

Sur les plates-formes UNIX, exécutez la commande /opt/VRTSat/bin/vssat setispbxexchflag --disable.

Sous Windows x86, exécutez C:\Program Files\VERITAS\Security\Authentication\bin\vssat setispbxexchflag --disable.

Sous Windows x64, exécutez C:\Program Files(x86)\VERITAS\Security\Authentication\bin\vssat setispbxexchflag --disable.

Emplacement de stockage des informations d'authentification

Les informations d'authentification de NetBackup Authentication and Authorization sont enregistrées dans les répertoires suivants :

UNIX :

Informations d'authentification de l'utilisateur : $HOME/.vxss

Informations d'authentification de l'ordinateur : /usr/openv/var/vxss/credentials/

Windows :

<user_home_dir>\Application Data\VERITAS\VSS

Effet du temps du système sur le contrôle d'accès

Les informations d'authentification ont une heure d'émission et une heure d'expiration. Les ordinateurs ayant d'importantes anomalies d'horloge affichent des informations d'authentification émises dans le futur ou prématurément expirées. Envisagez de synchroniser le temps si vous avez des difficultés de communication entre les systèmes.

Ports NetBackup Authentication and Authorization

Les services de daemon NetBackup Authentication and Authorization utilisent les ports 13783 et 13722 pour le serveur de médias et les clients de niveau précédent. Les services utilisent les connexions PBX.

Vous pouvez vérifier que les processus écoutent avec les commandes suivantes :

Authentification :

UNIX

netstat -an | grep 13783

Windows

netstat -a -n | find "13783"

Autorisation :

UNIX

netstat -an | grep 13722

Windows

netstat -a -n | find "13722"

Arrêt des daemons NetBackup Authentication and Authorization pour les services partagés

Lors de l'arrêt des services NetBackup Authentication and Authorization, arrêtez d'abord l'autorisation, puis arrêtez l'authentification.

UNIX - Utilisez les commandes suivantes.

Pour arrêter l'autorisation, utilisez le signal de fin comme indiqué dans l'exemple :

   # ps -fed |grep nbazd
      root 17018     1 4 08:47:35 ?     0:01 ./nbazd
      root 17019 16011 0 08:47:39 pts/2 0:00 grep nbazd
    # kill 17018

Pour arrêter l'authentification, utilisez le signal de fin comme indiqué dans l'exemple :

   # ps -fed |grep nbatd
      root 16018     1 4 08:47:35 ?     0:01 ./nbatd
      root 16019 16011 0 08:47:39 pts/2 0:00 grep nbatd
    # kill 16018

Windows

Utilisez l'utilitaire Services fourni par Windows, car ces services n'apparaissent pas dans le moniteur d'activité NetBackup.

Si vous vous verrouillez hors de NetBackup

Vous pouvez vous verrouiller en dehors de la NetBackup Administration Console si le contrôle d'accès n'est pas correctement configuré.

Le cas échéant, utilisez vi pour lire les entrées bp.conf (UNIX) ou regedit (Windows) et afficher le Registre Windows à l'emplacement suivant :

HKEY_LOCAL_MACHINE\Software\Veritas\NetBackup\
CurrentVersion\config

Vous pouvez vérifier si les entrées suivantes sont correctement définies : AUTHORIZATION_SERVICE, AUTHENTICATION_DOMAIN et USE_VXSS.

L'administrateur peut ne pas vouloir utiliser NBAC ou ne pas avoir installé les bibliothèques d'autorisation. Vérifiez que l'entrée USE_VXSS est définie sur Interdit ou totalement supprimée.

Les sauvegardes des unités de stockage sur des serveurs de médias peuvent ne pas fonctionner dans un environnement de NBAC

Le nom d'hôte d'un système du domaine NetBackup (serveur maître, serveur de médias ou client) et le nom d'hôte spécifié dans le fichier bp.conf devraient être identiques.

Utilisation de l'utilitaire nbac_cron

L'utilitaire nbac_cron.exe permet de créer des identités sous lesquelles exécuter la commande cron ou des travaux.

Pour plus d'informations sur l'utilitaire nbac_cron :

Se reporter à A propos de l'utilitaire nbac_cron.

nbac_cron.exe se trouve à l'emplacement suivant :

UNIX -/opt/openv/netbackup/bin/goodies/nbac_cron

Windows -Chemin_installation\Veritas\netbackup\bin\goodies\nbac_cron.exe

Pour des informations détaillées sur l'utilisation de l'utilitaire nbac_cron :

Se reporter à Utilisation de l'utilitaire nbac_cron.

Activation de NBAC après une récupération sous Windows

La procédure suivante permet d'activer manuellement NBAC après une récupération sous Windows.

  • Ajoutez AUTHENTICATION_DOMAIN, AUTHORIZATION_SERVICE et les entrées USE_VXSS dans le registre.

  • Définissez le type de services NetBackup Authentication and Authorization sur AUTOMATIC.

  • Redémarrez les services NetBackup.

  • Vérifiez que les services nbatd et nbazd sont en cours d'exécution.

Remarque :

Sur un cluster, exécutez les commandes bpclusterutil -enableSvc nbatd et bpclusterutil -enable nbazd .

Dans les installations en cluster, la commande setupmaster peut échouer

Dans le cas des installations en cluster où le fichier de configuration est sur un disque partagé, le fait que la commande setupmaster peut échouer est un problème connu.

Problème connu lorsque, sur un cluster, les services de sécurité partagés (vxatd ou vxazd) sont mis en cluster avec le serveur maître

Sur un cluster, le fait que les services de sécurité partagés (vxatd ou vxazd) soient mis en cluster avec le serveur maître est un problème connu. En exécutant la commande bpnbaz -SetupMaster et en installant la sécurité (NBAC), gelez les groupes de service partagés des services de sécurité, et ce de manière continue le cas échéant, ou mettez les services hors ligne (mais vérifiez que leur disque partagé est en ligne) et exécutez la commande setupmaster.

Problème connu lorsque, dans une mise à niveau de serveur maître mis en cluster avec NBAC, toutes les entrées AUTHENTICATION_DOMAIN du fichier bp.conf sont mises à jour avec le nom virtuel du serveur maître comme courtier d'authentification

Dans une mise à niveau de serveur maître mis en cluster avec NBAC, le fait que toutes les entrées AUTHENTICATION_DOMAIN du fichier bp.conf soient mises à jour avec le nom virtuel de serveur maître comme courtier d'authentification est un problème connu. Toute entrée de domaine présente se référant à un courtier d'authentification différente autre que le serveur maître (et le serveur maître n'entretenant pas ce domaine) doit être manuellement supprimée du fichier bp.conf.

Problème connu sur les ordinateurs Windows 2003 en pile double

Sur les ordinateurs Windows 2003 à double pile, un problème connu existe. Vous avez besoin du correctif Microsoft kb/928646 disponible à l'adresse http://support.microsoft.com/.

Problème connu relatif aux échecs de contrôle d'accès et aux noms d'hôte courts et longs

Les échecs liés au contrôle d'accès font partie d'un problème connu. Déterminez si les noms d'hôte courts et longs peuvent se résoudre correctement et renvoient à la même adresse IP.

Problème connu lorsque, dans une mise à niveau de cluster avec NBAC, la commande ClusterName du profil de courtier est définie par le nom virtuel d'AT

Dans une mise à niveau de cluster avec NBAC, le fait que la commande ClusterName du profil de courtier soit définie par le nom virtuel d'AT est un problème connu. La migration s'effectue telle quelle vers le courtier incorporé. Dans le profil du courtier incorporé, UseClusterNameAsBrokerName est défini sur 1. Lorsqu'une demande est envoyée pour des cartes de domaine de courtier, elle utilise le nom virtuel d'AT partagé comme nom de courtier. La commande bpnbaz -GetDomainInfosFromAuthBroker ne renvoie rien. Dans la mise à niveau, le fichier bp.conf est mis à jour pour avoir le nom virtuel de NetBackup.

Problème connu lorsque plusieurs instances de bpcd entraînent une possibilité d'erreur

Dans la commande bpnbaz -SetupMedia, le fait que bprd utilise le protocole AT_LOGINMACHINE_RQST pour parler avec bpcd sur la zone de destination est un problème connu. Une nouvelle instance de bpcd est engendrée. Une fois la commande terminée, elle essaie de libérer une baie de char comme pointeur régulier entraînant probablement bpcd à vider la mémoire du côté client. La fonctionnalité ne doit pas être perdue car cette instance bpcd est seulement créée temporairement et se ferme normalement. La commande bpcd parent est inchangée.

Problème connu lorsque les clusters utilisent l'AT partagé avec les fichiers de configuration sur le lecteur partagé

Le fait que des clusters utilisent l'AT partagé avec les fichiers de configuration sur le lecteur partagé est un problème connu. Le décrochage des services partagés fonctionne uniquement sur le nœud où ce lecteur partagé est accessible. Le décrochage échoue sur les nœuds restants. Cela implique que l'exécution de bpnbaz -SetupMaster pour gérer des parties du courtier distant est un échec. Vous devrez configurer manuellement les nœuds passifs. Exécutez bpnbaz -SetupMedia pour chaque nœud passif.

Problème connu relatif aux utilitaires de base de données prenant en charge NBAZDB

Le fait que certains utilitaires de base de données prennent en charge NBAZDB et d'autres non est un problème connu.

Les utilitaires de base de données suivants prennent en charge NBAZDB : nbdb_backup, nbdb_move, nbdb_ping, nbdb_restore et nbdb_admin.

Les utilitaires suivants ne prennent pas en charge NBAZDB : nbdb_unload et dbadm.