Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレードには次の手順を使うことができます。
NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup にアップグレードする前に、NetBackup サービスを停止し、USE_VXSS=PROHIBITED を設定することによって NBAC を無効にします。 USE_VXSS の新しい値を設定するには、次のコマンドを実行します。それから NetBackup のアップグレードを開始します。
UNIX プラットフォームでは、次のコマンドを使います。
/usr/openv/netbackup/bin/admincmd/bpsetconfig bpsetconfig> USE_VXSS=PROHIBITED bpsetconfig>Crtl + D (to save and quit).
Windows では、次のコマンドを使います。
C:\Program Files\Veritas\NetBackup\bin\admincmd\bpsetconfig bpsetconfig> USE_VXSS=PROHIBITED bpsetconfig> Crtl + Z + Enter (to save and quit).
- NetBackup のアップグレードが完了したら、NetBackup に付属の atutil ツールを使って、リモートルートブローカー(RB)とローカル共有の認証ブローカー(AB)を NetBackup に移行します。
- NetBackup コンピュータからルートブローカーコンピュータに atutil ユーティリティをコピーします。
UNIX プラットフォームでは、NetBackup コンピュータからルートブローカーコンピュータに /usr/openv/netbackup/sec/at/bin/atutil ファイルをコピーします。
Windows では、NetBackup コンピュータからルートブローカーコンピュータに C:\Program Files\Veritas\NetBackup\sec\at\bin\atutil.exe ファイルをコピーします。
- atutil コマンドがコピーされたディレクトリに移動します。次に、atutil export -r -f <RB output xml file> -p <password> コマンドを実行してルートブローカーをエクスポートします。
- エクスポートされたファイルを NetBackup コンピュータにコピーします。
- 次のコマンドを実行して NetBackup コンピュータにルートブローカーをインポートします。
UNIX プラットフォームでは、 /usr/openv/netbackup/sec/at/bin/atutil import -z /usr/openv/var/global/vxss/eab/data/ -f <RB output xml file> -p <password> を実行します。
Windows では、C:\Program Files\Veritas\NetBackup\sec\at\bin\atutil import -z C:\Program Files\Veritas\NetBackup\var\global\vxss\eab\data -f <RB output xml file> -p <password> を実行します。
クラスタコンピュータでは、-z オプションは共有ドライブを指す必要があります。
- 次のコマンドを実行して R+AB モードで NetBackup Authentication Service を構成します。
UNIX プラットフォームでは、/usr/openv/netbackup/sec/at/bin/vssregctl -s -f /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/VRTSatlocal.conf -b "Security\Authentication\Authentication Broker" -k Mode -t int -v 3 を実行します。
Windows では、C:\Program Files\Veritas\NetBackup\sec\at\bin\vssregctl -s -f C:\Program Files\VERITAS\NetBackup\var\global\vxss\eab\data\systemprofile\VRTSatlocal.conf -b "Security\Authentication\Authentication Broker" -k Mode -t int -v 3 を実行します。
クラスタコンピュータでは、共有ドライブを指すように -f オプションを設定します。
- 認証サービスを開始するために USE_VXSS の値を AUTOMATIC に設定します。USE_VXSS の新しい値を設定するには、次のコマンドを実行します。
UNIX プラットフォームの場合、
/usr/openv/netbackup/bin/admincmd/bpsetconfig bpsetconfig> USE_VXSS=AUTOMATIC bpsetconfig> Crtl + D (to save and quit).
Windows の場合、
C:\Program Files\Veritas\NetBackup\bin\admincmd\bpsetconfig bpsetconfig> USE_VXSS=AUTOMATIC bpsetconfig> Crtl + Z + Enter (to save and quit).
- 次のコマンドを実行して NetBackup Authentication Service を開始します。
UNIX プラットフォームでは、/usr/openv/netbackup/bin/nbatd を実行します。
Windows では、net start nbatd を実行します。
- USE_VXSS の値を PROHIBITED にリセットします。
UNIX プラットフォームでは、手動で
/usr/openv/netbackup/bp.confファイルを編集し、USE_VXSS を PROHIBITED に設定します。Windows では、HKEY_LOCAL_MACHINE\SOFTWARE\Veritas\NetBackup\CurrentVersion\Config のレジストリエントリを開き、USE_VXSS の値を PROHIBITED に設定します。
- 共有 AB ドメインをエクスポートし、NetBackup に次のコマンドを実行することによってインポートします。
UNIX プラットフォームでは、次のコマンドを順次実行します。
/usr/openv/netbackup/sec/at/bin/atutil export -t ab -f <AB output xml file> -p <password> /usr/openv/netbackup/sec/at/bin/atutil import -z /usr/openv/var/global/vxss/eab/data/ -f <AB output xml file> -p <password>.
Windows で、次のコマンドを順次実行します。
C:\Program Files\Veritas\NetBackup\sec\at\bin\atutil export -t ab -d broker -f <AB output xml file> -p <password> C:\Program Files\Veritas\NetBackup\sec\at\bin\atutil import -z C:\Program Files\Veritas\NetBackup\var\global\vxss\eab\data -f <AB output xml file> -p <password>
クラスタコンピュータでは、-z オプションは共有ドライブを指す必要があります。
- 次のコマンドを実行して NetBackup Authentication Service を開始します。
UNIX プラットフォームでは、/usr/openv/netbackup/bin/nbazd -f を実行します。
Windows では、net start nbazd を実行します。
- 共有 AZ サービスにログオンします。
UNIX プラットフォームでは、/opt/VRTSaz/bin/vssaz login --domain localhost を実行します。
Windows X86 プラットフォームでは、 C:\Program Files\VERITAS\Security\Authorization\bin\ vssaz login --domain localhost を実行します。
Windows X64 プラットフォームでは、C:\Program Files (x86)\VERITAS\Security\Authorization\bin\ vssaz login --domain localhost を実行します。
- 次のコマンドを使って共有 AZ から NetBackup APS の名前を検索します。
UNIX プラットフォームでは、/opt/VRTSaz/bin/vssaz listaps を実行します。
Windows X86 プラットフォームでは、C:\Program Files\VERITAS\Security\Authorization\bin\ vssaz listaps を実行します。
Windows X64 プラットフォームでは、C:\Program Files (x86)\VERITAS\Security\Authorization\bin\ vssaz listaps を実行します。
- 次のコマンドを実行して共有 AZ から NetBackup リソースの集合をエクスポートします。
UNIX プラットフォームでは、/opt/VRTSaz/bin/vssaz rcexport --toplevelrcname <NBU APS name> を実行します。
Windows X86 プラットフォームでは、C:\Program Files\VERITAS\Security\Authorization\bin\vssaz rcexport --toplevelrcname <NBU APS name> を実行します。
Windows X64 プラットフォームでは、C:\Program Files (x86)\VERITAS\Security\Authorization\bin\vssaz rcexport --toplevelrcname <NBU APS name> を実行します。
- 次のコマンドを使って共有 AZ からログアウトします。
UNIX プラットフォームでは、/opt/VRTSaz/bin/vssaz logout を実行します。
Windows X86 プラットフォームでは、C:\Program Files\VERITAS\Security\Authorization\bin\ vssaz logout を実行します。
Windows X64 プラットフォームでは、C:\Program Files (x86)\VERITAS\Security\Authorization\bin\ vssaz logout を実行します。
- 次のコマンドを使って NetBackup の AZ にログオンします。
UNIX プラットフォームでは、/usr/openv/netbackup/sec/az/bin/vssaz login --domain localhost を実行します。
Windows では、C:\Program Files\Veritas\NetBackup\sec\az\bin\ vssaz login --domain localhost を実行します。
- 次のコマンドを使って共有 AZ から NetBackup に NetBackup リソースの集合をインポートします。
UNIX プラットフォームでは、/usr/openv/netbackup/sec/az/bin/vssaz rcimport --location /var/VRTSaz/objdb/export/<OID>/rc_<OID>.xml を実行します。
Windows X86 プラットフォームでは、C:\Program Files\Veritas\NetBackup\sec\az\bin\ vssaz rcimport --location C:\Program Files\VERITAS\Security\Authorization\data\objdb\export \<OID>\rc_<OID>.xml を実行します。
Windows X64 プラットフォームでは、C:\Program Files\Veritas\NetBackup\sec\az\bin\ vssaz rcimport --location C:\Program Files (x86)\VERITAS\Security\Authorization\data\objdb\export \<OID>\rc_<OID>.xml を実行します。
- USE_VXSS = PROHIBITED モードで NetBackup サービスを再起動します。
- setupmaster コマンドを実行します。
- NetBackup サービスを再起動します。