Veritas NetBackup™ Appliance 安全指南
关于使用智能卡和数字证书进行身份验证
NetBackup Web UI 支持 Active Directory (AD) 或轻型目录访问协议 (LDAP) 域用户使用数字证书或智能卡(包括 CAC 和 PIV)进行身份验证。此身份验证方法仅支持每个设备主服务器域一个 AD 或 LDAP 域,并且不可用于本地域用户。即使已在设备上配置 LDAP,也必须为 NetBackup 配置 LDAP。
注意:
应为要使用此身份验证方法的每个设备主服务器域单独执行此配置。
确保在为域用户添加访问规则或配置域以进行智能卡身份验证之前,添加 AD 或 LDAP 域。使用 vssat 命令添加 AD 或 LDAP 域。
为 NetBackup 添加 AD 或 LDAP 域
- 以 NetBackupCLI 用户身份登录设备主服务器。
- 运行 vssat 命令。
vssat addldapdomain -d DomainName -s server_URL -u user_base_DN -g group_base_DN -t schema_type -m admin_user_DN
按照以下说明替换上述命令中的变量:
DomainName 是唯一标识 LDAP 域的符号名称。
server_URL 是给定域的 LDAP 目录服务器的 URL。LDAP 服务器 URL 必须以
ldap://或ldaps://开头。以ldaps://开头表示给定的 LDAP 服务器需要 SSL 连接。例如,ldaps://my-server.myorg.com:636。user_base_DN 是 user 容器的 LDAP 可分辨名称。例如,
ou=user,dc=mydomain,dc=myenterprise,dc=com。group_base_DN 是 group 容器的 LDAP 可分辨名称。例如,
ou=group,dc=mydomain,dc=myenterprise,dc=com。schema_type 指定要使用的 LDAP 架构的类型。支持的两个默认架构类型为 rfc2307 或 msad。
admin_user_DN 是一个字符串,包含以下用户的 DN:管理用户、具有 user 容器搜索权限的任何用户或 UserBaseDN 指定的用户子树。如果包括匿名用户在内的任何用户均可搜索 user 容器,则您可以将此选项配置为空字符串。例如, --admin_user=。此配置允许任何人搜索 user 容器。
- 使用 vssat validateprpl 验证是否已成功添加指定的 AD 或 LDAP 域。请注意,您还可以在 vssat 命令中使用以下选项:
vssat removeldapdomain,用于从身份验证代理中删除 LDAP 域。
vssat validategroup,用于检查提供的域中是否存在用户组。
vssat validateprpl,用于检查提供的域中是否存在用户。
有关 vssat 命令的更多详细信息,请参见《Veritas NetBackup 命令参考指南》
为 NetBackup 添加 AD 和 LDAP 域后,可以使用 nbasecadmin 用户登录到 NetBackup Web UI,并为 NetBackup Web UI 配置基于角色的访问控制。有关为 NetBackup appliance 用户配置 RBAC 的更多信息,请参见《NetBackup Web UI 安全管理指南》。
您可以使用 nbasecadmin 用户登录到 NetBackup Web UI,并配置使用智能卡或数字证书进行身份验证。有关执行配置所需的以下过程的步骤,请参考《NetBackup Web UI 安全管理指南》:
配置 NetBackup Web UI 以使用智能卡或数字证书对用户进行身份验证。
编辑智能卡身份验证的配置。
添加用于智能卡身份验证的 CA 证书。
删除用于智能卡身份验证的 CA 证书。