Veritas NetBackup™ Appliance 安全指南
关于多重身份验证
从 NetBackup Appliance 版本 5.3 开始,支持多重身份验证。
多重身份验证要求用户通过系统生成的代码(标准登录密码之外的必需项)验证其设备登录身份。启用多重身份验证后,每次登录设备时,照常输入用户名和密码。然后,系统将提示您通过远程设备(如智能手机)输入第二个因素来验证身份。在智能手机上打开该应用程序时,它会显示唯一的 6 位代码,必须输入该代码才能完成登录。
注意:
如果启用了“智能卡”配置,则无法使用多重身份验证。
管理员必须先配置其用户帐户以进行多重身份验证,然后其他用户才能配置其用户帐户。从以下 NetBackup Appliance 命令行操作界面 视图中完成该功能的配置:
Main > Settings > Security > Authentication > MFA
有关此功能的命令选项的完整详细信息和说明,请参见《NetBackup Appliance 命令参考指南》。
在第一个管理员配置其用户帐户以进行多重身份验证后,以下所有设备用户都可以配置其用户帐户:
Active Directory (AD)
LDAP
本地用户
NetBackup CLI 用户
无角色用户
注意:
NetBackupCLI 和无角色用户必须登录设备并运行 multifactor-authentication 命令,然后运行可用的子菜单命令。有关完整详细信息,请参见《NetBackup Appliance 命令参考指南》中的 Settings > Security > Authentication > MFA 说明。
此部分介绍了以下内容:管理员如何配置其用户帐户进行多重身份验证,从而允许所有其他用户稍后配置其用户帐户。
管理员配置要求:
至少两个管理员帐户 - 设备必须至少有两个管理员帐户,然后才能为其用户帐户配置多重身份验证。如果一个用户尝试配置该功能时仅存在另一个管理员用户帐户,则会显示一条错误消息,通知再添加一个管理员用户帐户。
至少一个 NTP 服务器 - 必须至少配置并添加一个 NTP 服务器,之后第一个管理员才能为其用户帐户配置多重身份验证。如果需要 NTP 服务器,将会显示一条消息。
注意:
NTP 服务器通常在执行设备初始配置时进行配置。如果当时未配置 NTP 服务器,则必须登录到 Appliance 命令行操作界面并使用 Main > Network > NTPServer 命令配置至少一个 NTP 服务器。有关详细信息,请参见《NetBackup Appliance 命令参考指南》。
完成上述配置后,所有其他设备用户都可以配置其用户帐户。
以下过程介绍了:首次配置管理员用户帐户以进行多重身份验证。
对于多重身份验证的首次管理员用户帐户配置
- 以管理员身份使用以下命令登录到命令行操作界面:
Main > Settings > Security > Authentication > MFA Configure
- 按照提示为用户帐户配置多重身份验证。
- 完成上述步骤后,让另一个管理员使用以下命令登录设备,配置其用户帐户以使用多重配置:
Main > Settings > Security > Authentication > MFA Configure
- 要对设备的所有用户强制执行多重身份验证,请运行以下命令:
Main > Settings > Security > Authentication > MFA Enforce
注意:
只有在完成步骤 1、2 和 3 之后,才能运行此命令。
在两个必需的管理员完成其用户帐户配置后,所有其他设备用户都可以配置其用户帐户。
用户配置要求:
如果配置了多重身份验证,但未对所有用户强制执行(全局强制执行),则用户可以随时为其帐户配置或取消配置多重身份验证。
如果配置了多重身份验证,并且还对所有用户强制执行了多重身份验证,则用户只能在定义的宽限期内为其帐户取消配置多重身份验证。宽限期默认值为 90 天。宽限期到期后,会在登录期间强制用户配置多重身份验证,但用户无法取消配置多重身份验证。
为用户帐户配置多重身份验证
- 登录到 Appliance 命令行操作界面并运行以下命令,为用户帐户配置多重身份验证:
Main > Settings > Security > Authentication > MFA Configure
对于 NetBackupCLI 用户和无角色用户,登录设备并运行 multifactor-authentication 命令,然后运行 Configure 子菜单命令。
- 按照提示为用户帐户配置多重身份验证。