Veritas NetBackup™ Appliance 安全指南
关于 NetBackupCLI 用户角色
NetBackupCLI 用户可以执行所有 NetBackup 命令、查看日志、编辑 NetBackup touch 文件以及编辑 NetBackup 通知脚本。NetBackupCLI 用户的唯一限制是必须使用超级用户权限运行 NetBackup 命令并且在 NetBackup 软件目录之外没有访问权限。这些用户登录后,他们将转到可以运行 NetBackup 命令的受限 shell。NetBackupCLI 用户共享一个主目录,并且没有 NetBackup Appliance 网页操作界面或 NetBackup Appliance 命令行操作界面的访问权限。
从设备版本 5.0 开始,NetBackupCLI 用户只能以超级用户身份运行某些命令,并且需要遵循 NetBackup CLI 授权机制来对此类命令进行身份验证以及运行此类命令。有关各种 NetBackup 命令和命令参数所需的确切权限的更多信息,请参考《NetBackup 命令参考指南》。
在任何给定时间最多可将 NetBackupCLI 角色分配给九个用户组。要创建本地 NetBackupCLI 用户,请从 NetBackup Appliance 命令行操作界面使用 Manage > NetBackupCLI > Create 命令。有关详细信息,请参见《NetBackup Appliance 命令参考指南》。
注意:
无法为现有的本地用户授予 NetBackupCLI 角色。
表:设备 NetBackupCLI 用户的权限和限制列出了 NetBackupCLI 用户的权限和限制。
表:设备 NetBackupCLI 用户的权限和限制
|
权限 |
限制 |
|---|---|
|
NetBackupCLI 用户可以使用 NetBackup Appliance 命令行操作界面执行以下操作:
|
以下限制将加在 NetBackupCLI 用户上:
|
以 NetBackupCLI 用户身份登录,并在命令提示符处键入 Command 以进入受限 Shell 环境。然后,可以从该 Shell 运行 NetBackup 命令。不允许使用绝对路径运行 NetBackup 命令。例如,您可以运行 bplist,但无法从命令 Shell 运行 /usr/openv/netbackup/bin/admincmd/bplist。
可能需要额外的授权才能运行某些 NetBackup 命令。您将看到不同的授权提示,具体取决于您尝试运行的 NetBackup 命令。
以下列表介绍了成功执行 NetBackup 命令的典型情况:
授权提示:需要 Web 登录
某些 NetBackup 命令可能需要 Web 登录。您将看到以下提示:
A web login is required. Run the 'bpnbat -login -loginType WEB|WEBUI|APIKEY' command to login. EXIT STATUS 5930: The request could not be authorized.
要对此类请求进行身份验证,必须以 NetBackup 管理员身份登录 NetBackup Web 管理服务并运行以下命令:
myappliance.NBCLIUSER> bpnbat -login -logintype WEB
下面显示了一个示例 WEB 登录:
Authentication Broker: ApplianceHostname Authentication Port: 0 Authentication Type: unixpwd LoginName: Username Password: Password Operation completed successfully.
授权提示:需要 Web UI 登录
某些 NetBackup 命令可能需要使用访问令牌进行批准。要对此类请求进行身份验证,请通过运行以下命令生成访问代码:
# bpnbat -login -logintype webui -requestApproval
记下命令窗口中显示的访问代码。
以 NetBackup 命令行 (CLI) 管理员用户身份登录 NetBackup Web UI,并通过输入先前生成的访问代码来批准 CLI 访问请求。有关访问密钥和批准请求的更多信息,请参考《NetBackup 安全和加密指南》。
授权提示:需要超级用户权限
某些 NetBackup 命令可能需要超级用户权限。您将看到以下提示:
EXIT STATUS 140: user id was not superuser
要对此类请求进行身份验证,请使用 sudo 提升权限并使用绝对路径运行 NetBackup 命令。例如:
# sudo /usr/openv/netbackup/bin/nbkmscmd -discoverNbkms
如果在使用了绝对路径和 sudo 之后,身份验证消息仍然存在,可以使用前面介绍的 WEB 登录方法并运行以下命令对请求进行身份验证:
# sudo /usr/openv/netbackup/bin/bpnbat -login -loginType WEB
常规注意事项:
前面介绍的身份验证案例是典型情况。某些 NetBackup 命令可能需要其他身份验证方法。有关各种 NetBackup 命令和命令参数所需的确切权限的更多信息,请参考《NetBackup 命令参考指南》。
默认情况下,某些 NetBackup 命令以 root 身份运行。通过运行以下命令,可以验证特定命令是否需要 root 权限:
nbucliuser-!> alias | grep NetBackup command
例如,默认情况下,nbkms 命令以 root 身份运行:
nbucliuser-!> alias | grep nbkms
alias nbkms='sudo -n /usr/openv/netbackup/bin/nbkms'
默认情况下,某些 NetBackup 命令由当前 NetBackupCLI 用户运行。但是,有些 NetBackup 命令参数需要 root 权限。在这种情况下,可以使用“sudo <absolute path of command> <parameters>”运行命令。
如果您看到提示“sudo: 需要密码”,则表示该命令不能以 root 身份运行。此类情况下,请联系 Veritas 技术支持获取帮助。
如果特殊指令文件和命令不在正确的 NetBackup 列表或路径中,则特殊指令操作可能会失败。指定备用还原路径是一个特殊指令操作示例。
需以 NetBackupCLI 用户身份运行 NetBackup 命令以访问特殊指令文件的设备用户必须执行以下操作来确保操作成功:
将
/home/nbusers路径添加到 NetBackupbpcd allowed list。将特殊指令命令添加到
/home/nbusers目录。
有关将条目添加到 NetBackup bpcd allowed list 的详细信息,请参考下列文档中的 BPCD_WHITELIST_PATH 配置选项:
《NetBackup 管理指南,第 I 卷》
NetBackup 命令参考指南