NetBackup™ 命令参考指南
- 介绍
- 附录 A. NetBackup 命令
- acsd
- backupdbtrace
- backuptrace
- bmrc
- bmrconfig
- bmrepadm
- bmrprep
- bmrs
- bmrsrtadm
- bp
- bparchive
- bpbackup
- bpbackupdb
- bpcatarc
- bpcatlist
- bpcatres
- bpcatrm
- bpcd
- bpchangeprimary
- bpcleanrestore
- bpclient
- bpclimagelist
- bpclntcmd
- bpclusterutil
- bpcompatd
- bpconfig
- bpdbjobs
- bpdbm
- bpdgclone
- bpdown
- bpduplicate
- bperror
- bpexpdate
- bpfis
- bpflist
- bpgetconfig
- bpgetdebuglog
- bpimage
- bpimagelist
- bpimmedia
- bpimport
- bpinst
- bpkeyfile
- bpkeyutil
- bplabel
- bplist
- bpmedia
- bpmedialist
- bpminlicense
- bpnbat
- bpnbaz
- bppficorr
- bpplcatdrinfo
- bpplclients
- bppldelete
- bpplinclude
- bpplinfo
- bppllist
- bpplsched
- bpplschedrep
- bpplschedwin
- bppolicynew
- bpps
- bprd
- bprecover
- bprestore
- bpretlevel
- bpschedule
- bpschedulerep
- bpsetconfig
- bpstsinfo
- bpstuadd
- bpstudel
- bpstulist
- bpsturep
- bptestbpcd
- bptestnetconn
- bpup
- bpverify
- cat_convert
- cat_export
- cat_import
- configureCerts
- configureMQ
- configureWebServerCerts
- create_nbdb
- csconfig cldinstance
- csconfig cldprovider
- csconfig meter
- csconfig reinitialize
- csconfig throttle
- duplicatetrace
- importtrace
- jbpSA
- jnbSA
- ltid
- mklogdir
- msdpcldutil
- msdpimgutil
- nbauditreport
- nbcallhomeproxyconfig
- nbcatsync
- NBCC
- NBCCR
- nbcertcmd
- nbcertupdater
- nbcldutil
- nbcmdrun
- nbcomponentupdate
- nbcplogs
- nbcredkeyutil
- nbdb_admin
- nbdb_backup
- nbdb_move
- nbdb_ping
- nbdb_restore
- nbdb_unload
- nbdb2adutl
- nbdbms_start_server
- nbdbms_start_stop
- nbdc
- nbdecommission
- nbdelete
- nbdeployutil
- nbdevconfig
- nbdevquery
- nbdiscover
- nbdna
- nbemm
- nbemmcmd
- nbepicfile
- nbfindfile
- nbfirescan
- nbfp
- nbftadm
- nbftconfig
- nbgetconfig
- nbhba
- nbholdutil
- nbhostidentity
- nbhostmgmt
- nbhsmcmd
- nbhypervtool
- nbidpcmd
- nbimageshare
- nbinstallcmd
- nbjm
- nbkmiputil
- nbkmscmd
- nbkmsutil
- nblogparser
- nbmariadb
- nbmysql
- nbmlb
- nborair
- nboracmd
- nbpem
- nbpemreq
- nbmariadb
- nbmlb
- nbperfchk
- nbpgsql
- nbplupgrade
- nbrb
- nbrbutil
- nbreplicate
- nbrepo
- nbrestorevm
- nbseccmd
- nbserviceusercmd
- nbsetconfig
- nbshvault
- nbsmartdiag
- nbsnapimport
- nbsnapreplicate
- nbsqlcmd
- nbsqlite
- nbstl
- nbstlutil
- nbstop
- nbsu
- nbsvrgrp
- netbackup_deployment_insights
- resilient_clients
- restoretrace
- stopltid
- tiermover
- tldd
- tldcd
- tpautoconf
- tpclean
- tpconfig
- tpext
- tpreq
- tpunmount
- verifytrace
- vltadm
- vltcontainers
- vlteject
- vltinject
- vltoffsitemedia
- vltopmenu
- vltrun
- vmadd
- vmchange
- vmcheckxxx
- vmd
- vmdelete
- vmoprcmd
- vmphyinv
- vmpool
- vmquery
- vmrule
- vmupdate
- vnetd
- vssat
- vwcp_manage
- vxlogcfg
- vxlogmgr
- vxlogview
- W2KOption
名称
bpnbat — 在 NetBackup 中执行身份验证任务
大纲
[-AddDomain | -RemoveDomain] Private_Domain
[-AddMachine]
[-AddUser | -RemoveUser] Name Private_Domain
-GetBrokerCert Broker_Name Broker_Port
-Login [-Info answer_file] [-cf credential_file] [-LoginType AT|WEB|APIKEY|WEBUI] [-skipDomainValidation] [-i | -Interactive]
-LoginMachine
-Logout [-LogoutType AT|WEB|APIKEY|WEBUI] [-cf credential_file]
-RemoveBrokerCert host_name
-RenewCred [-cf credential_file]
-ShowBrokerCerts
-ShowMachines
-Version
-WhoAmI [-cf credential_file] [-Verify]
On UNIX systems, the directory path to this command is /usr/openv/netbackup/bin/
On Windows systems, the directory path to this command is install_path\NetBackup\bin\
描述
bpnbat 命令是允许用户使用 Cohesity Product Authentication and Authorization Service 的工具。
此服务包含以下两个不同的部分:
身份验证 - 验证您的身份
授权 - 检查您可以执行的操作
bpnbat 使用户可以在 NetBackup 中执行身份验证任务。
如果命令需要密码,它将不回显密码或星号,那样将会使他人显著缩小密码搜索范围。
NetBackup Access Control 要求用户的主目录能够正常工作。
必须有管理员权限才能运行以下命令选项:-AddDomain、-RemoveDomain、-AddMachine、-AddUser、-RemoveUser、-LoginMachine 和 -ShowMachines。
选项
- [-AddDomain | -RemoveDomain] Private_Domain
使用这些选项,身份验证服务器上的本地管理员可以在专用 Veritas Domain 数据库中添加或删除域。从任何操作系统中都无法访问这些域。它们仅在 Veritas Product Authentication and Authorization Service 内才有意义。它们将用于集中命名机构不可用的情况(如 PDC/AD 或 NIS 域)。
- -AddMachine
在专用的 Cohesity Product Authentication 中注册计算机。该标识位于专用域 NBU_Machines@at.server.name 中。对您的身份验证代理 (root + ab) 运行此选项。
- [-AddUser | -RemoveUser] Private_Domain
使身份验证服务器上的本地管理员可以在专用 Veritas Domain 数据库的域中添加或删除用户。这些帐户仅在 Veritas Product Authentication and Authorization Service 内才有意义。它们将用于集中命名机构不可用的情况(如 PDC/AD 或 NIS 域)。
- -GetBrokerCert
获取代理证书而无需向代理验证身份。
- -Login [-Info answer_file] [-cf credential_file] [-LoginType AT|WEB|APIKEY|WEBUI][-requestApproval] [-i | -Interactive]
向系统标识您的身份。不带任何选项运行此命令时,系统将提示您输入名称、密码、域、身份验证类型和服务器以进行身份验证。名称、密码、域和域类型的组合可以在企业范围的网络中创建唯一标识。首次联系代理时,将询问您是否愿意信任该代理并对它们进行身份验证。不能使用不可信的代理。
注意:
要执行某些授权令牌和基于主机 ID 的证书相关操作,必须使用 bpnbat -login 命令。
NetBackup 风险引擎可检测系统异常并发送警报,以便您在安全威胁发生前采取应对措施。如果 NetBackup 主服务器配置为检测异常登录,当您使用 bpnbat -login 和 -LoginType WEB 时,登录请求将生成多人授权票证。您将收到一条与所示消息类似的消息。有关安全选项和配置的更多信息,请参考《NetBackup 安全和加密指南》。
For security reasons, your sign in attempt is placed on hold and a multiperson authorization ticket (ID XX) is opened. Once a security admin approves the ticket, you will be automatically signed in. Alternatively, you can cancel your sign in attempt by pressing CTRL+C.
NetBackup 管理员批准您的登录请求后,您将成功登录。要取消请求,请按 。如果您再次尝试登录,则请求可能会延迟,直到 NetBackup 管理员批准。
-Info 选项可接受应答文件中的用户名、密码和域信息。在应答文件中,密码是可选项。您也可以将证书放置在凭据文件(如已指定)或默认位置。如果您未提供密码,则在运行此命令时,系统将提示您输入密码。
-Info 选项可接受应答文件中的用户名、密码和域信息。在应答文件中,密码是可选项。您也可以将证书放置在凭据文件(如已指定)或默认位置。如果您未提供密码,则在运行此命令时,系统将提示您输入密码。-Info 选项仅适用于 AT、WEB 和 APIKEY 登录。
当用户帐户配置为进行多重身份验证时,-Info [-i | -Interactive] 选项会提示您在登录期间输入一次性密码。
如果强制实施多重身份验证,但尚未为用户帐户配置多重身份验证,建议使用 NetBackup Web UI 配置多重身份验证。
在低于 10.3 的 NetBackup 主机上执行 bpnbat -login 操作时,必须将一次性密码附加到密码中。
如果未为 bpnbat -LoginType 选项提供任何值,并且用户输入附加到密码的一次性密码,则 Web 登录将成功。但是,Cohesity Authentication Service (AT) 的身份验证失败。要成功进行 AT 身份验证和 Web 登录,必须单独输入密码和一次性密码。
-requestApproval 选项仅适用于 WEBUI 登录。使用此选项可请求 NetBackup 命令行界面执行权限。
对于 APIKEY 登录类型,应答文件应按以下顺序包含详细信息:
User name API key Master server
应答文件示例:
administrator A1WMg0EmC4pKBXlZjL61qlqJ0YE4-IRacjViMKLg9pUVaU-XJAnroQNawlnKLaNx nbmaster1
警告:
将用户名和密码保存在纯文本文件中,将存在潜在的安全问题。对该文本文件具有读访问权限的未授权用户可获取 Cohesity Product Authentication and Authorization Service 的用户名和密码,以使用 bpnbat 命令手动进行身份验证。确保安全地访问应答文本文件。
应答文件是指包含所需信息条目的文本文件。
WEB 的应答文件必须包含按以下所示顺序显示的四行:
domain type domain user name password
以下是一个示例应答文件:
NT Sample_Domain administrator s@Mpl3
AT 的应答文件必须包含按以下所示顺序显示的四行:
domain type domain user name password authentication broker
以下是一个示例应答文件:
unixpwd Sample_Domain root s@Mpl3 Sample_Domain
如之前所述,密码是可选值。域类型值必须是以下所示值之一:
NIS
NIS+
NT
vx
unixpwd
如果使用应答文件,请确保服务器上已配置适当的 AUTHENTICATION_DOMAIN。请参见《NetBackup 安全和加密指南》。
NetBackup 网页管理操作界面服务 (
nbwmc) 始终在 NetBackup 主服务器上运行。身份验证代理通常也在 NetBackup 主服务器上运行。但在某些情况下,身份验证代理在主机而非主服务器上运行。APIKEY 的应答文件必须包含所示的三行:
Login name API key Master server
如果 -LoginType 为 AT,则仅对主服务器执行 NetBackup AT 代理登录。如果 -LoginType 为 WEB 或 APIKEY,则仅对身份验证代理或主服务器执行 NetBackup Web 应用程序登录。如果未指定 -LoginType,且身份验证代理位于主服务器上,则同时执行 AT 和 WEB 登录。如果未指定 -LoginType,且身份验证代理不位于主服务器上,则 WEB 登录将成功,AT 登录将失败。AT 登录失败且安全服务状态码为 96。如果 -LoginType 为 APIKEY,则仅执行 API 密钥登录。如果 –cf 为 -LoginType 或 WEB,则 APIKEY 选项不适用。
- -LoginMachine
标识使用 Veritas Security Subsystem 专用域 NBU_Machines@at.server.name 中的帐户的计算机。对 NetBackup 介质服务器、主服务器和客户端运行此选项。此选项类似于以用户身份登录身份验证代理。
- -Logout [-cf credential_file] [-LogoutType AT|WEB|APIKEY|WEBUI]
使当前用户的凭据失效,用户需要重新登录才能继续。如果没有 -cf 选项,存储在默认位置的凭据将失效。-cf 选项指向实际的凭据文件,可以允许用户显式指定要失效的凭据。
如果 -LogoutType 为 AT,则仅执行 NetBackup AT 代理注销。如果 -LogoutType 为 WEB、WEBUI 或 APIKEY,则执行 NetBackup Web 应用程序注销。如果未指定 -LogoutType,则同时执行 AT、web 和 WEBUI 注销。–cf 选项仅适用于 AT 注销。
- -RemoveBrokerCert server.name.com
对除 root 用户(管理员)之外的全部用户,删除对指定身份验证代理的信任。可以使用此命令来删除不再信任的代理。例如,身份验证代理移到公司的其他部门。
- -RenewCred [-cf credential_file]
续订 VxSS 存储的当前用户凭据或通过 -cf 选项指定的凭据文件。
- -ShowBrokerCerts
列出用户当前信任的所有代理。NetBackup 信任列出的任何代理来处理发送给它的身份验证请求。
- -ShowMachines
列出所有使用 -AddMachines 选项添加到专用 Veritas Security Subsystem 数据库的计算机域中的计算机。还会显示 DNS 是否完全解析了计算机名称。对您的身份验证代理 (root + ab) 运行此选项。
- -skipDomainValidation
使用此选项可跳过身份验证域验证。仅适用于 AT 或 WEB 登录。
- -Version
检索可执行文件的版本。
- -WhoAmI [-cf credential_file] [-Verify]
指定当前在 Cohesity Product Authentication and Authorization Service 中使用的标识。它列出以下内容:
名称
域
如果登录类型为 API 密钥,则域显示为 vrts.apikey
对于 WEBUI 登录类型,如果请求批准,以执行 NetBackup 命令行界面,则域显示为 CLI。
发布凭据的身份验证代理
证书的失效时间
创建凭据时使用的域类型
示例
示例 1 - 用户使用 -Login 和默认端口号连接到名为 test.domain.veritas.com 的身份验证代理(它是处理身份验证过程的服务器)。使用 NIS 帐户。因此,除了用户和密码,还会提供与该 NIS 帐户关联的域名。
# bpnbat -Login Authentication Broker: test.domain.veritas.com Authentication port[ Enter = default]: Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd): NIS Domain: domain.veritas.com Name: username Password: You do not currently trust the server: test.domain.veritas.com, do you wish to trust it? (y/n): y Operation completed successfully.
示例 2 - -WhoAmI 选项验证您当前在 Cohesity Product Authentication and Authorization Service 中使用的标识。
# bpnbat -WhoAmI Name: user name Domain: domain.veritas.com Issued by: /CN=broker/OU=root@eek.example.com/O=vx Expiry Date: Oct 27 20:57:43 2009 GMT Authentication method: NIS Operation completed successfully.
示例 3 - 将计算机添加到计算机标识列表中:
# bpnbat -AddMachine Machine Name: auto.domain.veritas.com Password: Operation completed successfully.
接下来,会显示计算机标识列表:
# bpnbat -ShowMachines auto.domain.veritas.com Operation completed successfully
然后它将计算机登录到指定的身份验证代理中:
# bpnbat -LoginMachine Does this machine use Dynamic Host Configuration Protocol (DHCP)? (y/n) n Authentication Broker: test.domain.veritas.com Authentication port[ Enter = default]: Name: auto.domain.veritas.com Password: Operation completed successfully.
最后,将计算机登录到指定的身份验证代理并出现一个问题:
如果用户的配置中有多个 NIC,或者键入的代理名称有误,则会再次显示提示。使用户还有一次机会输入正确的代理名称。以下示例假设 sleemanNB 为专用 NIC 名称。Cohesity Product Authentication and Authorization Service 用来建立身份验证域的公用 NIC 名称是 sleeman.example.com。如果用户使用 -loginmachine 命令时出现了故障(包括错误的计算机名称、密码或代理名称等),则用户还有一次机会为身份验证代理输入显式主服务器主机名。请参考以下示例:
# bpnbat -LoginMachine Does this machine use Dynamic Host Configuration Protocol (DHCP)? (y/n) n Authentication Broker: sleemanNB Authentication port[ Enter = default]: Machine Name: challenger Password: Primary host name of broker: sleeman.example.com Operation completed successfully.
示例 4 - 获取代理证书而无需向代理验证身份。它需要一个代理 (test.domain.veritas.com) 和一个端口(默认为 0)
# bpnbat -GetBrokerCert test.domain.veritas.com 0 Operation completed successfully.
示例 5 - 列出用户当前信任的所有代理。
# bpnbat -ShowBrokerCerts Name: root Domain: root@test.domain.veritas.com Issued by: /CN=root/OU=root@test.domain.veritas.com/O=vx Expiry Date: Jun 12 20:45:19 2006 GMT Authentication method: Veritas Private Security Name: root Domain: root@auto.domain.veritas.com Issued by: /CN=root/OU=root@auto.domain.veritas.com/O=vx Expiry Date: Feb 17 19:05:39 2006 GMT Authentication method: Veritas Private Security Operation completed successfully.
示例 6 - 当用户不再愿意信任某个代理时,可以使用 -RemoveBrokerCert 选项删除它。在以下示例中,将身份验证代理移到公司的其他部门。
# bpnbat -RemoveBrokerCert test.domain.veritas.com Operation completed successfully.
现在,用户可以使用 -ShowBrokerCerts 选项来显示当前的证书。不再显示以前删除的证书。
示例 7 - 说明如何使用应答文件为自动执行命令(cron 等)提供登录信息。
对于 UNIX:UNIX NIS 域名是 location.example.com、此域的用户名是 bgrable、密码是 hello456。bpnbat -login 相应的应答文件必须包含以下四行:
NIS location.example.com bgrable hello456
如果应答文件位于 /docs 中,且名为 login.txt,则 bpnbat 命令将执行以下操作:
# bpnbat -login -info /docs/vslogin.txt
运行 bpnbat -login 命令后,可运行诸如 bpbackup 的命令而不会出现身份验证错误。
对于 Windows:Windows 域名是 corporate,该域的用户名是 jsmith,用户密码是 hello123。bpnbat -login 相应的应答文件必须包含以下四行:
NT corporate jsmith hello123
如果应答文件位于 /docs 中,且名为 login.txt,则 bpnbat 命令将执行以下操作:
# bpnbat -login -info c:\docs\vslogin.txt
运行 bpnbat -login 命令后,可运行诸如 bpbackup 的命令而不会出现身份验证错误。
示例 8 - 如何将 -LoginType 参数与 bpnbat -login 命令配合使用。
# bpnbat -login -LoginType AT Authentication Broker: server.domain.com Authentication port [0 is default]: 0 Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd, ldap): unixpwd Domain: server.domain.com Login Name: root Password: Operation completed successfully.
# bpnbat -login -LoginType WEB Authentication Broker: server.domain.com Authentication port [0 is default]: 0 Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd, ldap): unixpwd Domain: server.domain.com Login Name: root Password: Operation completed successfully.
示例 9 - 对于已注册多重身份验证的用户,使用 bpnbat 登录
# bpnbat -Login -LoginType WEB Authentication Broker [primaryserver is default]: Authentication port [0 is default]: Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd, ldap) [unixpwd is default]: Domain: primaryserver Login Name [root is default]: Password: One-time password: 016594 Operation completed successfully.
示例 10 - 对于已注册多重身份验证并且具有交互选项的用户,使用 bpnbat 登录
# bpnbat -Login -info "/root/bpnbat.txt" -interactive Password: One-time password: 295362 Operation completed successfully.