NetBackup™ 命令参考指南
- 介绍
- 附录 A. NetBackup 命令
- acsd
- backupdbtrace
- backuptrace
- bmrc
- bmrconfig
- bmrepadm
- bmrprep
- bmrs
- bmrsrtadm
- bp
- bparchive
- bpbackup
- bpbackupdb
- bpcatarc
- bpcatlist
- bpcatres
- bpcatrm
- bpcd
- bpchangeprimary
- bpcleanrestore
- bpclient
- bpclimagelist
- bpclntcmd
- bpclusterutil
- bpcompatd
- bpconfig
- bpdbjobs
- bpdbm
- bpdgclone
- bpdown
- bpduplicate
- bperror
- bpexpdate
- bpfis
- bpflist
- bpgetconfig
- bpgetdebuglog
- bpimage
- bpimagelist
- bpimmedia
- bpimport
- bpinst
- bpkeyfile
- bpkeyutil
- bplabel
- bplist
- bpmedia
- bpmedialist
- bpminlicense
- bpnbat
- bpnbaz
- bppficorr
- bpplcatdrinfo
- bpplclients
- bppldelete
- bpplinclude
- bpplinfo
- bppllist
- bpplsched
- bpplschedrep
- bpplschedwin
- bppolicynew
- bpps
- bprd
- bprecover
- bprestore
- bpretlevel
- bpschedule
- bpschedulerep
- bpsetconfig
- bpstsinfo
- bpstuadd
- bpstudel
- bpstulist
- bpsturep
- bptestbpcd
- bptestnetconn
- bpup
- bpverify
- cat_convert
- cat_export
- cat_import
- configureCerts
- configureMQ
- configureWebServerCerts
- create_nbdb
- csconfig cldinstance
- csconfig cldprovider
- csconfig meter
- csconfig reinitialize
- csconfig throttle
- duplicatetrace
- importtrace
- jbpSA
- jnbSA
- ltid
- mklogdir
- msdpcldutil
- nbauditreport
- nbcallhomeproxyconfig
- nbcatsync
- NBCC
- NBCCR
- nbcertcmd
- nbcertupdater
- nbcldutil
- nbcmdrun
- nbcomponentupdate
- nbcplogs
- nbcredkeyutil
- nbdb_admin
- nbdb_backup
- nbdb_move
- nbdb_ping
- nbdb_restore
- nbdb_unload
- nbdb2adutl
- nbdbms_start_server
- nbdbms_start_stop
- nbdc
- nbdecommission
- nbdelete
- nbdeployutil
- nbdevconfig
- nbdevquery
- nbdiscover
- nbdna
- nbemm
- nbemmcmd
- nbepicfile
- nbfindfile
- nbfirescan
- nbfp
- nbftadm
- nbftconfig
- nbgetconfig
- nbhba
- nbholdutil
- nbhostidentity
- nbhostmgmt
- nbhsmcmd
- nbhypervtool
- nbidpcmd
- nbimageshare
- nbinstallcmd
- nbjm
- nbkmiputil
- nbkmscmd
- nbkmsutil
- nblogparser
- nbmariadb
- nbmysql
- nbmlb
- nborair
- nboracmd
- nbpem
- nbpemreq
- nbmariadb
- nbmlb
- nbperfchk
- nbpgsql
- nbplupgrade
- nbrb
- nbrbutil
- nbreplicate
- nbrepo
- nbrestorevm
- nbseccmd
- nbserviceusercmd
- nbsetconfig
- nbshvault
- nbsmartdiag
- nbsnapimport
- nbsnapreplicate
- nbsqlcmd
- nbsqlite
- nbstl
- nbstlutil
- nbstop
- nbsu
- nbsvrgrp
- netbackup_deployment_insights
- resilient_clients
- restoretrace
- stopltid
- tiermover
- tldd
- tldcd
- tpautoconf
- tpclean
- tpconfig
- tpext
- tpreq
- tpunmount
- verifytrace
- vltadm
- vltcontainers
- vlteject
- vltinject
- vltoffsitemedia
- vltopmenu
- vltrun
- vmadd
- vmchange
- vmcheckxxx
- vmd
- vmdelete
- vmoprcmd
- vmphyinv
- vmpool
- vmquery
- vmrule
- vmupdate
- vnetd
- vssat
- vwcp_manage
- vxlogcfg
- vxlogmgr
- vxlogview
- W2KOption
名称
vssat — 配置身份验证服务 (AT) 及其选项。
大纲
-d DomainName -s server_URL -u user_base_DN -g group_base_DN -m admin_user_DN [-w admin_user_password] [-f trusted_CA_file_name] [-tp TLS_protocol_version_to_be_disabled] [-cs cipher_suite_list] [-t rfc2307 | msad | {-c user_object_class -a user_attribute -q user_GID_attribute -un user_display_name_attribute -ui user_ID_attribute -ud user_description_attribute -x group_object_class -y group_attribute -z group_GID_attribute -gn group_display_name_attribute -gi group_ID_attribute -gd group_description_attribute [-k DN | UID]]} [-F]
[-F]
-d DomainName [-F]
--groupname name --domain type:name --broker host:1556:nbatd [-F]
--prplname prpl_name --domain type:name --broker host:1556:nbatd [-F]
On UNIX systems, the directory path to this command is /usr/openv/netbackup/sec/at/bin/
On Windows systems, the directory path to this command is install_path\NetBackup\sec\at\bin\
描述
使用 vssat addldapdomain 命令可将 LDAP 域添加到身份验证代理。必须有管理员权限才能运行 vssat 命令。您必须确定所示的信息才可添加 LDAP 域:
正在使用的 LDAP 目录的类型。
LDAP 目录的类型决定了要使用的方案的类型。一些可能的 LDAP 目录类型包括:Microsoft Active Directory、OpenLDAP、iPlanet 等。
LDAP 目录的 URL。
例如,ldap:// my_ldap_host.mydomain.myenterprise.com:389 或 ldaps:// my_ssl_ldap_host.mydomain.myenterperise.com。请注意,LDAP URL 必须以 ldap:// 开头(对于非 SSL 的 LDAP 目录)或以 ldaps:// 开头(对于已启用 SSL 的 LDAP 目录)。
users 容器的可分辨名称 (DN)。
通常情况下,users 容器位于其中一个命名上下文中。对于大多数 LDAP 目录,可以使用目录供应商提供的 ldapsearch 实用程序找出命名上下文。例如:
ldapsearch --group_object_class -h my_host --server_url base -- auth_type "" namingContexts
对于 Microsoft Active Directory,users 容器类似于以下示例:cn=users,dc=domain_name,dc=enterprise_name,dc=com
groups 容器的可分辨名称 (DN)。
通常情况下,groups 容器位于其中一个命名上下文中。对于大多数 LDAP 目录,可以使用目录供应商提供的 ldapsearch 实用程序找出命名上下文。例如:
ldapsearch --group_object_class -h my_host --server_url base -- auth_type "" namingContexts
对于 Microsoft Active Directory,groups 容器类似于以下示例:cn=users,dc=domain_name,dc=enterprise_name,dc=com
用于简化用户和组的架构。
如果企业已根据征求意见文档 2307 将其 NIS 数据迁移至 LDAP 目录,则必须使用 RFC 2307 架构。RFC 2307 使用 posixAccount 对象类简化 user 对象。它使用 posixGroup 对象类简化 group 对象。如果企业使用 Microsoft Active Directory,则必须使用 Microsoft Active Directory 架构。在此架构中,user 对象类可同时简化 user 对象和 group 对象。
如果企业既未使用 RFC 2307 也未使用 Microsoft Active Directory,您必须确定所示的项目:
用于简化 user 对象的 LDAP 对象类。
用于简化 group 对象的 LDAP 对象类。
user 对象类中用于简化用户名或 ID 的用户属性。
Cohesity 使用所示的规则构建 user 条目的 DN:user_attribute=user_name,user_container_DN。例如,如果用户属性配置为 cn,users 容器 DN 配置为 dc=mydomain,dc=myenterprise,dc=com,且身份验证调用的用户名为 jdoe,则 jdoe 的 LDAP DN 为:cn=jdoe,dc=mydomain,dc=myenterprise,dc=com
user 对象类中用于标识给定用户所属组的组标识符 (GID) 属性。
group 对象类中用于简化组名的组属性。
Cohesity 使用所示规则构建 group 条目的 DN:group_attribute=group_name,group_container_DN。例如,如果组属性配置为 cn,groups 容器 DN 配置为 dc=mydomain,dc=myenterprise, dc=com,且组名为 adm,则 adm 的 LDAP DN 为:cn=adm,dc=mydomain,dc=myenterprise,dc=com。
group 对象类中用于简化给定组的组 ID 的组 ID 属性。
添加 LDAP 域后,您不需要重新启动代理。
使用 vssat listldapdomains 命令可列出身份验证代理中的所有 LDAP 域。此命令不需要其他参数。示例部分中显示了此命令的示例。
使用 vssat removeldapdomain 可从身份验证代理中删除 LDAP 域。
使用 vssat validategroup 命令以检查提供的域中是否存在用户组。
使用 vssat validateprpl 命令以检查提供的域中是否存在用户。
注意:
只能在群集的活动节点上运行 vssat 命令。
选项
- -a, --user_attribute user_attribute
使用所示的语法指定 user 对象类中的用户属性:user_attribute=prplname,user_base_DN。jdoe 的 LDAP DN 为:cn=jdoe,dc=mydomain,dc=myenterprise,dc=com,其中:
user_attribute 为 cn。
prplname 为 jdoe。
user_base_DN 为 dc=mydomain,dc=myenterprise,dc=com。
如果使用 -t 选项,则不使用此选项。
- --broker host:1556:nbatd
代理的主机和端口。
- -c, --user_object_class user_object_class
指定 user 对象的 LDAP 对象类,即 posixAccount。如果定义了 schema_type,则不应使用 user_object_class。如果未定义 schema_type,则应使用 user_object_class。
- -cs, -cipher_suite_list
TLS 密码套件的冒号分隔列表。LDAP 服务器 URL 以 ldaps:// 开头时,必须使用此参数。默认列表为:
ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA- AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA
- -d, --domain DomainName
作为 LDAP 域唯一标识符的符号名称。
- --domain type:name
保留要验证的组或主体的域的名称。如有需要,均使用域类型 ldap。
- -F, --enable_fips
在 FIPS 模式下运行命令。默认情况下,FIPS 模式处于禁用状态。
- -f, --server_trusted_ca_file trusted_CA_file_name
包含 PEM 格式的可信 CA 证书的文件的完整路径。如果 LDAP 服务器 URL 以 ldaps:// 开头并且签署 LDAP 服务器安全证书的证书颁发机构不是以下机构,则必须使用此参数:
CyberTrust
digicert
GeoTrust
Certification Services Division
VeriSign Trust Network
RSA Security Inc.
GlobalSign
Symantec Corporation
- -g, --group_base_dn group_base_DN
group 容器的 LDAP 可分辨名称。例如,ou=group,dc=mydomain,dc=myenterprise,dc=com。
- -gd, --group_description_attr group_description_attribute
在 Directory Service 中定义组的描述的属性名称。
- -gi, --group_id_attr group_ID_attribute
在 Directory Service 中定义组的唯一标识符的属性名称。
- -gn, --group_dispname_attr group_display_name_attribute
在 Directory Service 中定义组的显示名称的属性名称。
- --groupname name
要验证的组的名称。
- -k, --group_gid_attribute_type DN | UID
指定组 GID 属性的存储类型。
- -m, --admin_user admin_user_DN
此选项是一个字符串,包含以下用户的 DN:管理用户、具有 user 容器搜索权限的任何用户或 UserBaseDN 指定的用户子树。如果包括匿名用户在内的任何用户均可搜索 user 容器,则您可以将此选项配置为空字符串。例如,--admin_user=。此配置允许任何人搜索 user 容器。
- --prplname prpl_name
要验证的主体的名称。
- -q, --user_gid_attribute user_GID_attribute
指定 user 对象类中用于检索用户所属组的属性。如果使用 -t 选项,则不使用此选项。
- -s, -server_url server_URL
给定域的 LDAP 目录服务器的 URL。LDAP 服务器 URL 必须以 ldap:// 或 ldaps:// 开头。以 ldaps:// 开头表示给定的 LDAP 服务器需要 SSL 连接。例如,ldaps://my-server.myorg.com:636。
- -t, --schema_type schema_type
指定要使用的 LDAP 架构的类型。如果使用 -t 选项,必须忽略下列选项:-a、-i 和 -o。这些值会根据选择的架构类型自动进行设置。如果不使用 -t,则不会自动设置 rfc2307 和 msad 参数。您必须自己提供这些值。支持两个默认的架构类型:
:在 RFC 2307 中指定的架构。对于 RFC2307,请使用如下所示的架构:
User 对象类:posixAccount
用户搜索属性:uid
用户唯一 ID 属性:uidNumber
用户显示名称属性:cn
用户描述属性:description
用户 GID 属性:gidNumber
Group 对象类:posixGroup
组搜索属性:cn
组唯一 ID 属性:gidNumber
组显示名称属性:cn
组描述属性:description
组 GID 属性:memberUid
:Microsoft Active Directory 架构。对于 Microsoft Active Directory,请使用如下所示的架构:
User 对象类:user
用户搜索属性:sAMAccountName
用户唯一 ID 属性:objectSid
用户显示名称属性:displayName
用户描述属性:description
用户 GID 属性:memberOf
Group 对象类:group
组搜索属性:sAMAccountName
组唯一 ID 属性:objectSid
组显示名称属性:displayName
组描述属性:description
组 GID 属性:cn
- -tp, -disable_tls_protocol
禁用指定的 TLS 协议和所有早期版本的 TLS 协议。
LDAP 服务器 URL 以 ldaps:// 开头时,必须使用此参数。支持的值为 SSLv2、SSLv3、TLSv1 和 TLSv1.1。默认值为 TLSv1.1。
- -u, --user_base_dn user_base_DN
user 容器的 LDAP 可分辨名称。例如,ou=user,dc=mydomain,dc=myenterprise,dc=com。
- -ud, --user_description_attr user_description_attribute
在 Directory Service 中定义用户的描述的属性名称。
- -ui, --user_id_attr user_ID_attribute
在 Directory Service 中定义用户的唯一标识符的属性名称。
- -un, --user_dispname_attr user_display_name_attribute
在 Directory Service 中定义用户的显示名称的属性名称。
- -w, --admin_user_password admin_user_password
此属性是一个字符串,包含在 -m 选项中指定的用户的绑定密码。如果 -m 为空字符串,此选项也必须是空字符串。例如,--admin_user_password=。密码以纯文本形式传递,但以加密形式存储。如果没有为 -w 选项提供密码,NetBackup 会提示输入密码。
- -x, --group_object_class group_object_class
指定 group 对象的 LDAP 对象类,即 posixGroup。如果使用 -t 选项,则不使用此选项。
- -y, --group_attribute group_attribute
使用所示的语法指定 group 对象类中的组属性:group_attribute=group,group_base_DN。例如,adm 的 LDAP DN 为 cn=adm,dc=mydomain,dc=myenterprise,dc=com,其中:
group_attribute 为 cn。
group 为 adm。
group_base_DN 为 dc=mydomain,dc=myenterprise,dc=com。
如果使用 -t 选项,则不使用此选项。
- -z, --group_gid_attribute group_GID_attribute
指定 group 对象类中用于检索组的属性。如果使用 -t 选项,则不使用此选项。
示例
示例 1:使用 vssat 命令列出身份验证代理中的 LDAP 域。
vssat listldapdomains Listldapdomains ---------------------- ---------------------- Found: 1 Domain Name: VSS Server URL: ldap://your_ldap_server.com SSL Enabled: No User Base DN: distinguish name of your user container User Object Class: posixAccount User Attribute: uid User GID Attribute: gidNumber Group Base DN: distinguish name of your group container Group Object Class: posixGroup Group Attribute: cn Group GID Attribute: gidNumber
示例 2:在配置文件中存储 AT 配置参数。
vssat addldapdomain --domainname MYADDOMAIN --server_url ldap:// my_ad_host.mydomain.myenterprise.com --user_base_dn cn=users,dc=mydomain, dc=myenterprise,dc=com --group_base_dn dc=users,dc=mydomain,dc=myenterprise, dc=com --schema_type msad --admin_user cn=Administrator,cn=users,dc= mydomain,dc=myenterprise,dc=com