Guide de référence des commandes Veritas NetBackup™
- Introduction
- Annexe A. Commandes NetBackup
- acsd
- add_media_server_on_clients
- backupdbtrace
- backuptrace
- bmrc
- bmrconfig
- bmrepadm
- bmrprep
- bmrs
- bmrsrtadm
- bp
- bparchive
- bpbackup
- bpbackupdb
- bpcatarc
- bpcatlist
- bpcatres
- bpcatrm
- bpcd
- bpchangeprimary
- bpclient
- bpclimagelist
- bpclntcmd
- bpclusterutil
- bpcompatd
- bpconfig
- bpdbjobs
- bpdbm
- bpdgclone
- bpdown
- bpduplicate
- bperror
- bpexpdate
- bpfis
- bpflist
- bpgetconfig
- bpgetdebuglog
- bpimage
- bpimagelist
- bpimmedia
- bpimport
- bpinst
- bpkeyfile
- bpkeyutil
- bplabel
- bplist
- bpmedia
- bpmedialist
- bpminlicense
- bpnbat
- bpnbaz
- bppficorr
- bpplcatdrinfo
- bpplclients
- bppldelete
- bpplinclude
- bpplinfo
- bppllist
- bpplsched
- bpplschedrep
- bpplschedwin
- bppolicynew
- bpps
- bprd
- bprecover
- bprestore
- bpretlevel
- bpschedule
- bpschedulerep
- bpsetconfig
- bpstsinfo
- bpstuadd
- bpstudel
- bpstulist
- bpsturep
- bptestbpcd
- bptestnetconn
- bptpcinfo
- bpup
- bpverify
- cat_convert
- cat_export
- cat_import
- configureCertsForPlugins
- configureMQ
- configurePorts
- configureWebServerCerts
- create_nbdb
- csconfig cldinstance
- csconfig cldprovider
- csconfig meter
- csconfig throttle
- csconfig reinitialize
- duplicatetrace
- importtrace
- jbpSA
- jnbSA
- ltid
- manageClientCerts
- mklogdir
- nbauditreport
- nbcatsync
- NBCC
- NBCCR
- nbcertcmd
- nbcertupdater
- nbcldutil
- nbcloudrestore
- nbcomponentupdate
- Commande nbcplogs
- nbdb_admin
- nbdb_backup
- nbdb_move
- nbdb_ping
- nbdb_restore
- nbdb_unload
- nbdbms_start_server
- nbdbms_start_stop
- nbdc
- nbdecommission
- nbdelete
- nbdeployutil
- nbdevconfig
- nbdevquery
- nbdiscover
- nbdna
- nbemm
- nbemmcmd
- nbfindfile
- nbfirescan
- nbftadm
- nbftconfig
- nbgetconfig
- nbhba
- nbholdutil
- nbhostidentity
- nbhostmgmt
- nbhypervtool
- nbimageshare
- nbinstallcmd
- nbjm
- nbkmsutil
- nboraadm
- nborair
- nbpem
- nbpemreq
- nbperfchk
- nbplupgrade
- nbrb
- Commande nbrbutil
- nbregopsc
- nbreplicate
- nbrepo
- nbrestorevm
- nbseccmd
- nbsetconfig
- Commande nbsnapimport
- Commande nbsnapreplicate
- nbsqladm
- nbstl
- nbstlutil
- nbstop
- nbsu
- nbsvrgrp
- resilient_clients
- restoretrace
- Commande stopltid
- tl4d
- tl8d
- tl8cd
- tldd
- tldcd
- tlhd
- tlhcd
- tlmd
- tpautoconf
- tpclean
- tpconfig
- tpext
- tpreq
- tpunmount
- verifytrace
- vltadm
- vltcontainers
- vlteject
- vltinject
- vltoffsitemedia
- vltopmenu
- vltrun
- vmadd
- vmchange
- vmcheckxxx
- vmd
- vmdelete
- vmoprcmd
- vmphyinv
- vmpool
- vmquery
- vmrule
- vmupdate
- vnetd
- vssat
- vwcp_manage
- vxlogcfg
- vxlogmgr
- vxlogview
- W2KOption
Nom
vssat — configurez le service d'authentification (AT) et ses options.
Synopsis
-d DomainName -s server_URL -u user_base_DN -g group_base_DN -m admin_user_DN [-w admin_user_password] [-f trusted_CA_file_name] [-t rfc2307 | msad | {-c user_object_class -a user_attribute -q user_GID_attribute -un user_display_name_attribute -ui user_ID_attribute -ud user_description_attribute -x group_object_class -y group_attribute -z group_GID_attribute -gn group_display_name_attribute -gi group_ID_attribute -gd group_description_attribute [-k DN | UID]]}
-d DomainName
--groupname nom --domain type:nom -- broker hôte:1556:nbatd
--prplname nom_prpl --domain type:nom --broker hôte:1556:nbatd
Sur les systèmes UNIX, le chemin de répertoire vers cette commande est /usr/openv/netbackup/sec/at/bin
Sur les systèmes Windows, le chemin d'accès à cette commande est install_path\NetBackup\sec\at\bin
DESCRIPTION
Utilisez la commande vssat addldapdomain pour ajouter un domaine LDAP au courtier d'authentification. Des droits d'administrateur sont requis pour exécuter la commande vssat. Vous devez déterminer les informations qui sont affichées pour ajouter un domaine LDAP :
Le type de répertoire LDAP actuellement utilisé.
Le type de répertoire LDAP détermine le type de modèle à utiliser. Certains des types possibles de types de répertoire LDAP sont : Microsoft Active Directory, OpenLDAP, iPlanet, et ainsi de suite.
L'URL vers le répertoire LDAP.
Par exemple, ldap:// my_ldap_host.mydomain.myenterprise.com:389 ou ldaps:// my_ssl_ldap_host.mydomain.myenterperise.com. Sachez qu'une URL LDAP doit commencer par ldap:// pour non-SSL, ou par ldaps:// pour le répertoire LDAP compatible SSL.
Le nom unique (DN) du conteneur utilisateurs.
En règle générale, le conteneur utilisateurs est dans l'un des contextes de nommage. Pour la plupart des répertoires LDAP, vous pouvez utiliser l'utilitaire ldapsearch, fourni par le fournisseur de répertoire, pour trouver les contextes de nommage. Par exemple :
ldapsearch --group_object_class -h my_host --server_url base -- auth_type "" namingContexts
Pour Microsoft Active Directory, le conteneur utilisateurs ressemble à cet exemple : cn=users,dc=domain_name,dc=enterprise_name,dc=com
Le nom unique (DN) du conteneur groupes.
En règle générale, le conteneur groupes est dans l'un des contextes de nommage. Pour la plupart des répertoires LDAP, vous pouvez utiliser l'utilitaire ldapsearch, fourni par le fournisseur de répertoire, pour trouver les contextes de nommage. Par exemple :
ldapsearch --group_object_class -h my_host --server_url base -- auth_type "" namingContexts
Pour Microsoft Active Directory, le conteneur groupes ressemble à cet exemple : cn=users,dc=domain_name,dc=enterprise_name,dc=com
Le schéma pour faciliter les utilisateurs et les groupes.
Si l'entreprise a migré ses données NIS vers le répertoire LDAP en fonction de la demande de commentaires 2307, elle doit utiliser le schéma RFC 2307. RFC 2307 utilise la classe d'objet posixAccount pour faciliter les objets utilisateur. Il utilise la classe d'objet posixGroup pour faciliter les objets groupe. Si l'entreprise utilise Microsoft Active Directory, elle doit utiliser le schéma Microsoft Active Directory. Dans ce schéma, la classe d'objet utilisateur facilite à la fois les objets utilisateur et les objets groupe.
Si l'entreprise n'utilise ni RFC 2307, ni Microsoft Active Directory, vous devez déterminer les éléments affichés :
La classe d'objet LDAP pour faciliter les objets utilisateur.
La classe d'objet LDAP pour faciliter les objets groupe.
L'attribut utilisateur dans la classe d'objet utilisateur pour faciliter l'ID ou le nom d'utilisateur.
Veritas utilise les règles qui sont affichées pour construire le nom unique à l'entrée utilisateur : user_attribute=user_name,user_container_DN. Par exemple, si l'attribut utilisateur est configuré pour cn et le nom unique du conteneur d'utilisateurs est configuré pour dc=mydomain,dc=myenterprise,dc=com et le nom d'utilisateur pour l'appel d'authentification est jdoe, le nom unique LDAP pour jdoe est : cn=jdoe,dc=mydomain,dc=myenterprise,dc=com
L'attribut d'identifiant de groupe (GID) dans la classe d'objet utilisateur pour identifier les groupes auxquels l'utilisateur donné appartient.
L'attribut groupe dans la classe d'objet groupe pour faciliter le nom du groupe.
Veritas utilise les règles qui sont affichées pour construire le nom unique à l'entrée groupe : group_attribute=group_name,group_container_DN Par exemple, si l'attribut groupe est configuré pour cn et le nom unique du conteneur de groupes est configuré pour dc=mydomain,dc=myenterprise, dc=com et le nom de groupe est adm, le nom unique LDAP pour adm est : cn=adm,dc=mydomain,dc=myenterprise,dc=com.
L'attribut ID de groupe dans la classe d'objet groupe pour faciliter l'ID de groupe pour le groupe donné.
Il n'est pas nécessaire de redémarrer le courtier après avoir ajouté le domaine LDAP.
Utilisez la commande vssat listldapdomains pour répertorier tous les domaines LDAP dans le courtier d'authentification. Cette commande ne nécessite pas de paramètres supplémentaires. Un exemple de cette commande est affiché dans la section d'exemples.
Utilisez la commande vssat removeldapdomain pour supprimer un domaine LDAP du courtier d'authentification.
Utilisez la commande vssat validategroup afin de vérifier l'existence d'un groupe d'utilisateurs dans le domaine fourni.
Utilisez la commande vssat validateprpl afin de vérifier l'existence d'un utilisateur dans le domaine fourni.
Remarque :
Vous pouvez exécuter uniquement la commande vssat sur le nœud actif d'un cluster.
OPTIONS
- -a, --user_attribute user_attribute
Spécifiez l'attribut utilisateur au sein de la classe d'objet utilisateur à l'aide de la syntaxe qui est affichée : user_attribute=prplname,user_base_DN. Le nom unique LDAP pour jdoe est : cn=jdoe,dc=mydomain,dc=myenterprise,dc=com où :
Le user_attribute est cn.
Le prplname est jdoe.
Le user_base_DN est dc=mydomain,dc=myenterprise,dc=com.
N'utilisez pas cette option si vous utilisez l'option -t.
- --broker hôte:1556:nbatd
Hôte et port du courtier
- -c,--user_object_class user_object_class
Spécifiez la classe d'objet LDAP de l'objet utilisateur, qui est posixAccount. Si schema_type est défini, user_object_class ne doit pas être utilisé. Si schema_type n'est pas défini, user_object_class doit être utilisé.
- -d,--domain Nom de domaine
Un nom symbolique qui identifie exclusivement un domaine LDAP.
- --domain type:nom
Nom du domaine qui contient le groupe ou l'utilisateur principal que vous souhaitez valider. Utilisez le type de domaine ldap si nécessaire.
- -f,--server_trusted_ca_file trusted_CA_file_name
Le chemin d'accès complet au fichier qui contient les certificats de l'autorité de certification approuvés au format PEM. Vous devez utiliser ce paramètre lorsque l'URL du serveur LDAP commence par ldaps:// et que l'autorité de certification qui a signé le certificat de sécurité du serveur LDAP ne fait pas partie des autorités suivantes :
CyberTrust
digicert
GeoTrust
Certification Services Division
VeriSign Trust Network
RSA Security Inc.
GlobalSign
Veritas Corporation
- -g,--group_base_dn group_base_DN
Le nom unique LDAP pour le conteneur de groupe. Par exemple, ou=group,dc=mydomain,dc=myenterprise,dc=com.
- -gd,--group_description_attr group_description_attribute
Nom de l'attribut qui définit la description de groupe dans le service d'annuaire.
- -gi, --group_id_attr attribut_ID_groupe
Nom de l'attribut qui définit l'identifiant unique de groupe dans le service d'annuaire.
- -gn,--group_dispname_attr group_display_name_attribute
Nom de l'attribut qui définit le nom affiché de groupe dans le service d'annuaire.
- --groupname nom
Nom du groupe que vous voulez valider.
- -k,--group_gid_attribute_type nom unique | UID
Spécifiez le type de stockage de l'attribut d'identifiant de groupe.
- -m,--utilisateur_admin admin_user_DN
Cette option est une chaîne qui contient le nom unique (DN) de l'utilisateur administratif ou de n'importe quel utilisateur qui a l'autorisation de recherche de conteneur utilisateur, ou utilisateur sous-arbre comme spécifié par UserBaseDN. Si le conteneur utilisateur peut être recherché par toute personne, y compris un utilisateur anonyme, vous pouvez configurer cette option comme une chaîne vide. Par exemple, --admin_user=. Cette configuration permet à toute personne de rechercher dans le conteneur utilisateur.
- --prplname nom_prpl
Nom de l'utilisateur principal que vous voulez valider.
- -q,--user_gid_attribute user_GID_attribute
Spécifiez l'attribut au sein de la classe d'objet utilisateur pour récupérer les groupes auxquels l'utilisateur appartient. N'utilisez pas cette option si vous utilisez l'option -t.
- -s, - server_url server_URL
L'URL du serveur d'annuaire LDAP pour le domaine donné. L'URL du serveur LDAP doit commencer par ldap:// ou par ldaps://. Une URL commençant par ldaps:// indique que le serveur LDAP donné requiert une connexion SSL. Par exemple ldaps://my-server.myorg.com:636.
- -t,--schema_type schema_type
Spécifiez le type de schéma LDAP à utiliser. Si vous utilisez l'option -t, vous devez omettre les options suivantes : -a, -i, et -o. Ces valeurs sont définies automatiquement selon le type de schéma choisi. Si vous n'utilisez pas -t, ni les paramètres rfc2307 ou msad ne sont définis automatiquement. Vous devez fournir les valeurs vous-même. Deux types de schéma par défaut sont pris en charge :
: Le schéma qui est spécifié dans le document RFC 2307. Avec RFC2307, utilisez le schéma qui est affiché :
Classe d'objet utilisateur : posixAccount
Attribut de recherche d'utilisateur : uid
Attribut d'ID unique d'utilisateur : uidNumber
Attribut de nom affiché d'utilisateur : cn
Attribut de description d'utilisateur : description
Attribut d'identifiant utilisateur : gidNumber
Classe d'objet groupe : posixGroup
Attribut de recherche de groupe : cn
Attribut d'ID unique de groupe : gidNumber
Attribut de nom affiché de groupe : cn
Attribut de description de groupe : description
Attribut d'identifiant de groupe : memberUid
: schéma Microsoft Active Directory. Avec Microsoft Active Directory, utilisez le schéma qui est affiché :
Classe d'objet utilisateur : user
Attribut de recherche d'utilisateur : sAMAccountName
Attribut d'ID unique d'utilisateur : objectSid
Attribut de nom affiché d'utilisateur : displayName
Attribut de description d'utilisateur : description
Attribut d'identifiant utilisateur : memberOf
Classe d'objet groupe : group
Attribut de recherche de groupe : sAMAccountName
Attribut d'ID unique de groupe : objectSid
Attribut de nom affiché de groupe : displayName
Attribut de description de groupe : description
Attribut d'identifiant groupe : cn
- -u,--user_base_dn user_base_DN
Le nom unique LDAP pour le conteneur utilisateur. Par exemple, ou=user,dc=mydomain,dc=myenterprise,dc=com.
- -ud,--user_description_attr user_description_attribute
Nom de l'attribut qui définit la description de l'utilisateur dans le service d'annuaire.
- -ui, --user_id_attr attribut_ID_utilisateur
Nom de l'attribut qui définit l'identifiant unique de l'utilisateur dans le service d'annuaire.
- -un, --user_dispname_attr user_display_name_attribute
Nom de l'attribut qui définit le nom affiché de l'utilisateur dans le service d'annuaire.
- -w, --admin_user_password admin_user_password
Cet attribut est une chaîne qui contient le mot de passe de liaison de l'utilisateur spécifié dans l'option -m. Si -m est une chaîne vide, cette option doit également être une chaîne vide. Par exemple, --admin_user_password=. Le mot de passe est passé en texte brut, mais il est enregistré dans un format chiffré. Si vous n'avez pas fourni le mot de passe pour l'option -w, NetBackup vous demande le mot de passe.
- -x,--group_object_class group_object_class
Spécifiez la classe d'objet LDAP pour l'objet groupe qui est posixGroup. N'utilisez pas cette option si vous utilisez l'option -t.
- -o,--group_attribute group_attribute
Spécifiez l'attribut groupe dans la classe d'objet groupe, à l'aide de la syntaxe qui est affichée : group_attribute=groupe,group_base_DN. Par exemple, le nom unique LDAP pour adm est cn=adm,dc=mydomain,dc=myenterprise,dc=com où :
Le group_attribute est cn.
Le groupe est adm.
Le group_base_DN est dc=mydomain,dc=myenterprise,dc=com.
N'utilisez pas cette option si vous utilisez l'option -t.
- -z,--group_gid_attribute group_GID_attribute
Spécifiez l'attribut au sein de la classe d'objet groupe pour récupérer le groupe. N'utilisez pas cette option si vous utilisez l'option -t.
EXEMPLES
Exemple 1 : Utilisation de la commande vssat pour lister les domaines LDAP dans le courtier d'authentification.
vssat listldapdomains Listldapdomains ---------------------- ---------------------- Found: 1 Domain Name: VSS Server URL: ldap://your_ldap_server.com SSL Enabled: No User Base DN: distinguish name of your user container User Object Class: posixAccount User Attribute: uid User GID Attribute: gidNumber Group Base DN: distinguish name of your group container Group Object Class: posixGroup Group Attribute: cn Group GID Attribute: gidNumber
Exemple 2 : Enregistre les paramètres de configuration du service d'authentification dans un fichier de configuration.
vssat addldapdomain --domainname MYADDOMAIN --server_url ldap:// my_ad_host.mydomain.myenterprise.com --user_base_dn cn=users,dc=mydomain, dc=myenterprise,dc=com --group_base_dn dc=users,dc=mydomain,dc=myenterprise, dc=com --schema_type msad --admin_user cn=Administrator,cn=users,dc= mydomain,dc=myenterprise,dc=com