Veritas NetBackup™ 安全和加密指南
- 不断提高的 NetBackup 安全
- 安全部署模型
- 端口安全
- 审核 NetBackup 操作
- 访问控制安全
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 关于 AD 和 LDAP 域
- 使用 NetBackup CA 和 NetBackup 证书进行安全管理
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 关于审核事件
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- NetBackup 中的外部 CA 支持
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 关于 NetBackup 中的 API 密钥
- 静态数据加密安全
- 静态数据密钥管理
- 重新生成 密钥和证书
- NetBackup Web 服务帐户
UNIX 主服务器验证
使用下列过程验证 UNIX 主服务器:
验证 UNIX 主服务器设置。
验证允许哪些计算机执行授权查找。
验证是否已正确配置数据库。
验证 nbatd 和 nbazd 进程是否正在运行。
验证是否已正确配置主机属性。
下表介绍了 UNIX 主服务器的验证过程。
表:UNIX 主服务器的验证过程
进程 | 描述 |
|---|---|
验证 UNIX 主服务器设置 | 确定主机是在哪个域中注册的(主身份验证代理所在的域),并确定证书所代表的计算机的名称。对主服务器的凭据文件运行 bpnbat 命令(带 -whoami 和 -cf 参数)。服务器凭据位于 例如: bpnbat -whoami -cf
/usr/openv/var/vxss/credentials/unix_master.company.com
Name: unix_master.company.com
Domain: NBU_Machines@unix_master.company.com
Issued by: /CN=broker/OU=root@unix_master/O=vx
Expiry Date: Oct 31 15:44:30 2007 GMT
Authentication method: Veritas Private Security
Operation completed successfully.如果列出的域不是 NBU_Machines@unix_master.company.com,或者该文件不存在,请考虑对相关名称 (unix_master) 运行 bpnbat -addmachine。在服务于 NBU_Machines 域 (unix_master) 的计算机上运行此命令。 然后,在需要放置证书的计算机 (unix_master) 上,运行:bpnbat -loginmachine 注意: 在确定凭据是否已失效时,请记住输出显示的截止时间是 GMT 时间,而不是本地时间。 注意: 对于此验证主题中的其余过程,假设命令是通过控制台窗口执行的。使用属于 NBU_Security Admin 成员的标识,相关用户标识所在的窗口已运行 bpnbat -login。该标识通常是设置安全时使用的第一个标识。 |
验证身份验证代理中存在哪些计算机。 | 要验证身份验证代理中存在哪些计算机,请以管理员组成员身份登录并运行以下命令: bpnbat -ShowMachines 以下命令显示您已运行的计算机: bpnbat -AddMachine |
验证允许哪些计算机执行授权查找 | 要验证哪些计算机可以执行授权查找,请在身份验证代理上以 root 用户身份登录并运行以下命令: bpnbaz -ShowAuthorizers
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@unix_master.company.com
Name: unix_master.company.com
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@unix_master.company.com
Name: unix_media.company.com
Operation completed successfully.此命令表明允许 unix_master 和 unix_media 执行授权查找。请注意,两个服务器是基于同一 vx(Veritas 专用域)域 NBU_Machines@unix_master.company.com 进行身份验证的。 如果主服务器或介质服务器不在获得授权的计算机列表中,请运行 bpnbaz -allowauthorization <server_name> 添加缺少的计算机。 |
确保数据库已正确配置 | 为确保数据库已正确配置,请运行 bpnbaz -listgroups: bpnbaz -listgroups
NBU_Operator
NBU_Admin
NBU_SAN Admin
NBU_User
NBU_Security Admin
Vault_Operator
Operation completed successfully.如果未显示组,或者 bpnbaz -listmainobjects 未返回数据,请运行 bpnbaz -SetupSecurity。 |
验证 nbatd 和 nbazd 进程是否正在运行 | 运行 ps 命令以确保 nbatd 和 nbazd 进程正在指定的主机上运行。必要时启动它们。 例如: ps -fed |grep vx
root 10716 1 0 Dec 14 ? 0:02 /usr/openv/netbackup/bin/private/nbatd
root 10721 1 0 Dec 14 ? 4:17 /usr/openv/netbackup/bin/private/nbazd |
验证是否已正确配置主机属性 | 在“访问控制”主机属性中,验证是否已正确设置“NetBackup Authentication 和 NetBackup Authorization”属性。(该设置应为或,具体取决于是否所有计算机都使用“NetBackup Authentication 和 NetBackup Authorization”。如果并非所有计算机都使用“NetBackup Authentication 和 NetBackup Authorization”,则应将其设置为。) 在“访问控制”主机属性中,验证列表上的身份验证域的拼写是否正确。此外,还要确保这些域指向正确的服务器(有效的身份验证代理)。如果所有域都是基于 UNIX 的,则它们都应指向运行身份验证代理的 UNIX 计算机。 也可以使用 cat 在 bp.conf 中执行此验证过程。 cat bp.conf
SERVER = unix_master
SERVER = unix_media
CLIENT_NAME = unix_master
AUTHENTICATION_DOMAIN = company.com "default company
NIS namespace"
NIS unix_master 0
AUTHENTICATION_DOMAIN = unix_master "unix_master password file"
PASSWD unix_master 0
AUTHORIZATION_SERVICE = unix_master.company.com 0
USE_VXSS = AUTOMATIC
# |