NetBackup ™ セキュリティおよび暗号化ガイド

プライマリサーバー設定の検証

bpnbat -whoami を実行し、コンピュータのクレデンシャルを指定すると、ホストが登録されているドメイン、および証明書に示されているコンピュータの名前が表示されます。

  bpnbat -whoami -cf 
    "install_path\netbackup\var\vxss\credentials\
   primary.company.com
    "Name: primary.company.com
   Domain: NBU_Machines@primary.company.com
   Issued by: /CN=broker/OU=root@primary.company.com/O=vx
   Expiry Date: Oct 31 20:17:51 2007 GMT
   Authentication method: Veritas Private Security
   Operation completed successfully.

表示されたドメインが NBU_Machines@primary.company.com でない場合、対象の名前 (primary) に対して bpnbat -addmachine を実行することを検討してください。NBU_Machines ドメインとして機能するコンピュータ (primary) でこのコマンドを実行します。

次に、クレデンシャルを配置するマシン上で、bpnbat -loginmachine コマンドを実行します。

ルートクレデンシャルの設定

認証サーバーまたは認可サーバーのいずれかの設定で問題が発生し、アプリケーションでユーザーのクレデンシャルが root であるとエラー表示された場合は、root に対して $HOME 環境変数が正しく設定されていることを確認します。

次のコマンドを実行して、現在の値を検出します。

echo $HOME

この値は root のホームディレクトリと一致する必要があります。このディレクトリは、通常、/etc/passwdファイルに存在します。

root に切り替える場合は、次のコマンドを実行します。

su -

この場合、su とだけ入力するのではなく、root 環境変数を正しく調整する必要があります。

期限切れのクレデンシャルメッセージ

クレデンシャルが期限切れであるか、不正である場合、bpnbaz または bpnbat コマンドの実行時に、次のメッセージが表示されます。

Supplied credential is expired or incorrect. Please
reauthenticate and try again.

bpnbat -Login を実行して、期限切れのクレデンシャルを更新します。

有効なデバッグログ

次のログは、NetBackup アクセス制御のデバッグを行う場合に役立ちます。

プライマリ上: admin、bpcd、bprd、bpdbm、bpjobd、bpsched

クライアント上: admin、bpcd

アクセス制御: nbatd、nbazd。

正しいログ記録の説明については、『NetBackup トラブルシューティングガイド』を参照してください。

クレデンシャルの格納場所

NetBackup Authentication and Authorization のクレデンシャルは次のディレクトリに格納されます。

UNIX の場合:

ユーザーのクレデンシャル: $HOME/.vxss

コンピュータのクレデンシャル: /usr/openv/var/vxss/credentials/

Windows の場合:

<user_home_dir>\Application Data\VERITAS\VSS

システム時間がアクセス制御に与える影響

クレデンシャルには、作成時間と終了時間が含まれます。コンピュータ間でシステム時間が大きく異なっていると、クレデンシャルが未来に作成されたものと見なされたり、実際よりも早く期限切れと見なされます。システム間の通信で問題が発生した場合は、システム時間の同期化を検討してください。

NetBackup Authentication and Authorization のポート

NetBackup Authentication and Authorization デーモンサービスは旧バージョンのメディアサーバーとクライアントにポート 13783 番と 13722 番を使います。これらのサービスでは PBX 接続が使用されます。

次のコマンドで、プロセスが待機していることを確認できます。

認証:

UNIX の場合

netstat -an | grep 13783

Windows の場合

netstat -a -n | find "13783"

認可:

UNIX の場合

netstat -an | grep 13722

Windows の場合

netstat -a -n | find "13722"

共有サービスの NetBackup の認証および認可デーモンの停止

NetBackup Authentication and Authorization Service を停止する場合は、認可を最初に停止し、その後認証を停止します。

UNIX の場合、次のコマンドを使用します。

認可を停止する場合、次の例に示すように、TERM シグナルを送信します。

   # ps -fed |grep nbazd
     root 17018     1 4 08:47:35 ?     0:01 ./nbazd
     root 17019 16011 0 08:47:39 pts/2 0:00 grep nbazd
    # kill 17018

認証を停止する場合、次の例に示すように、TERM シグナルを送信します。

   # ps -fed |grep nbatd
     root 16018     1 4 08:47:35 ?     0:01 ./nbatd
     root 16019 16011 0 08:47:39 pts/2 0:00 grep nbatd
    # kill 16018

Windows の場合

これらのサービスは NetBackup アクティビティモニターに表示されないため、Windows の［サービス］ユーティリティを使用します。

NetBackup にアクセスできない場合

アクセス制御が正しく構成されていないと、NetBackup 管理コンソールにアクセスできない場合があります。

アクセスできない場合は、vi を使って bp.conf エントリを参照するか（UNIX）、または regedit を使って次の場所の Windows レジストリを参照します（Windows）。

HKEY_LOCAL_MACHINE\SOFTWARE\Veritas\NetBackup\
CurrentVersion\config

AUTHORIZATION_SERVICE、AUTHENTICATION_DOMAIN および USE_VXSS エントリが正しく設定されているかどうかを確認します。

管理者は、NetBackup アクセス制御の使用を好まない場合や認可ライブラリをインストールしていないことがあります。USE_VXSS エントリがProhibitedに設定されているか完全に削除されていることを確認します。

メディアサーバーのストレージユニットのバックアップが NBAC 環境で実行されない

NetBackup ドメインのシステム (プライマリサーバー、メディアサーバー、またはクライアント) のホスト名と bp.conf ファイルで指定するホスト名は、同じである必要があります。

nbac_cron ユーティリティの使用

nbac_cron.exe ユーティリティを使用して、cron または at ジョブを実行する際の識別情報を作成します。

nbac_cron ユーティリティについての詳細

nbac_cron ユーティリティについてを参照してください。

nbac_cron.exe は、次の場所に存在します。

UNIX の場合、/opt/openv/netbackup/bin/goodies/nbac_cron

Windows の場合、install_path\netbackup\bin\goodies\nbac_cron.exe

nbac_cron ユーティリティの使用についての詳細

nbac_cron ユーティリティの使用を参照してください。

Windows でのリカバリ後の NBAC の有効化

Windows でリカバリ後に手動で NBAC を有効にするには次の手順を使います。

クラスタインストールで setupmaster が失敗する

構成ファイルが共有ディスクにあるクラスタインストールの場合には setupmaster が失敗することがある既知の問題があります。

共有セキュリティサービス (vxatd または vxazd) がプライマリサーバーとともにクラスタ化されている場合のクラスタの既知の問題

共有セキュリティサービス (vxatd または vxazd) がプライマリサーバーとともにクラスタ化されている場合にクラスタに既知の問題があります。bpnbaz -SetupMaster コマンドを実行し、セキュリティ (NBAC) を設定するときに、該当する場合は共有セキュリティサービスのサービスグループを永続的にフリーズするか、サービスをオフラインにします (ただし、共有ディスクはオンラインであることを確認します)。その後、setupmaster コマンドを実行します。

bp.conf ファイル内のすべての AUTHENTICATION_DOMAIN エントリが認証ブローカーとしてプライマリサーバー仮想名で更新される、NBAC に関するクラスタ化されたプライマリサーバーアップグレードの既知の問題

bp.conf ファイル内のすべての AUTHENTICATION_DOMAIN エントリが認証ブローカーとしてプライマリサーバー仮想名で更新される、NBAC に関するクラスタ化されたプライマリサーバーアップグレードに既知の問題があります。プライマリサーバー以外の異なる認証ブローカーを示す任意のドメインエントリがある (また、プライマリサーバーはそのドメインをサービスしない) 場合は、そのエントリは手動で bp.conf ファイルから削除される必要があります。

アクセス制御エラーと短いホスト名および長いホスト名に関する既知の問題

アクセス制御に関するエラーを含む既知の問題があります。短いホスト名と長いホスト名を解決することができ、同じ IP アドレスに解決されるかを調べてください。

ブローカーのプロファイルで ClusterName が AT の仮想名に設定されている場合の NBAC に関するクラスタアップグレードの既知の問題

ブローカーのプロファイルで ClusterName が AT の仮想名に設定されている場合の NBAC に関するクラスタアップグレードの既知の問題があります。これは組み込みのブローカーにそのまま移行されます。組み込みのブローカーはプロファイルで UseClusterNameAsBrokerName が 1 に設定されています。ブローカーのドメインマップに要求が送られると、共有 AT の仮想名をブローカー名として使用します。bpnbaz -GetDomainInfosFromAuthBroker は何も戻しません。アップグレードでは、bp.conf ファイルが NetBackup 仮想名を持つように更新されます。

エラーが発生する可能性のある bpcd の複数インスタンスの既知の問題

bpnbaz -SetupMedia コマンドで、bprd が AT_LOGINMACHINE_RQST プロトコルを使用して宛先フィールドの bpcd と通信する既知の問題があります。bpcd の新しいインスタンスが起動されます。コマンドは、完了後に char アレイを通常のポインタとして解放することを試行し、bpcd によってクライアント側にコアダンプを発生させる場合があります。この bpcd インスタンスは一時的に作成されて正常に終了するため、機能は損なわれないはずです。親 bpcd には影響しません。

共有ドライブの構成ファイルと共有 AT を使用するクラスタに関する既知の問題

共有ドライブの構成ファイルと共有 AT を使用するクラスタに関する既知の問題があります。共有サービスの解除は、この共有ドライブがアクセス可能であるノードでのみ有効になります。解除は残りのノードでは失敗します。つまり、管理を行う bpnbaz -SetupMaster を実行している間は、リモートブローカーの個々の操作が失敗します。手動でパッシブノードを構成する必要があります。各パッシブノードで bpnbaz -SetupMedia を実行します。

NBAZDB をサポートするデータベースユーティリティに関する既知の問題

あるデータベースユーティリティではサポートされ、他のデータベースユーティリティではサポートされない既知の問題があります。

次のデータベースユーティリティが NBAZDB をサポートします: nbdb_backup、nbdb_move、nbdb_ping、nbdb_restore、nbdb_unload、および nbdb_admin。

dbadm ユーティリティは NBAZDB をサポートしません。