Veritas NetBackup™ Appliance 安全指南
适用于 NetBackup Web UI 的智能卡身份验证
NetBackup Web UI 支持 Active Directory (AD) 或轻型目录访问协议 (LDAP) 域用户使用数字证书或智能卡(包括 CAC 和 PIV)进行身份验证。此身份验证方法仅支持每个设备主服务器域一个 AD 或 LDAP 域,并且不可用于本地域用户。
注意:
应为要使用此身份验证方法的每个设备主服务器域单独执行此配置。
确保在为域用户添加访问规则或配置域以进行智能卡身份验证之前,添加 AD 或 LDAP 域。使用 vssat 命令添加 AD 或 LDAP 域。
为 NetBackup 添加 AD 或 LDAP 域
- 以 NetBackupCLI 用户身份登录设备主服务器。
- 运行 vssat 命令。
vssat addldapdomain -d DomainName -s server_URL -u user_base_DN -g group_base_DN -t schema_type -m admin_user_DN
按照以下说明替换上述命令中的变量:
DomainName 是唯一标识 LDAP 域的符号名称。
server_URL 是给定域的 LDAP 目录服务器的 URL。LDAP 服务器 URL 必须以
ldap://或ldaps://开头。以ldaps://开头表示给定的 LDAP 服务器需要 SSL 连接。例如,ldaps://my-server.myorg.com:636。user_base_DN 是 user 容器的 LDAP 可分辨名称。例如,
ou=user,dc=mydomain,dc=myenterprise,dc=com。group_base_DN 是 group 容器的 LDAP 可分辨名称。例如,
ou=group,dc=mydomain,dc=myenterprise,dc=com。schema_type 指定要使用的 LDAP 架构的类型。支持的两个默认架构类型为 rfc2307 或 msad。
admin_user_DN 是一个字符串,包含以下用户的 DN:管理用户、具有 user 容器搜索权限的任何用户或 UserBaseDN 指定的用户子树。如果包括匿名用户在内的任何用户均可搜索 user 容器,则您可以将此选项配置为空字符串。例如, --admin_user=。此配置允许任何人搜索 user 容器。
- 使用 vssat validateprpl 验证是否已成功添加指定的 AD 或 LDAP 域。请注意,您还可以在 vssat 命令中使用以下选项:
vssat removeldapdomain,用于从身份验证代理中删除 LDAP 域。
vssat validategroup,用于检查提供的域中是否存在用户组。
vssat validateprpl,用于检查提供的域中是否存在用户。
有关 vssat 命令的更多详细信息,请参见《Veritas NetBackup 命令参考指南》