NetBackup IT Analytics システム管理者ガイド
- はじめに
- 更新の準備
- データのバックアップとリストア
- NetBackup IT Analytics の監視
- REST API を使用した NetBackup IT Analytics レポートへのアクセス
- NetBackup の推定テープ容量の定義
- ホストグループ管理の自動化
- ホストグループ管理の自動化に関する情報
- タスクの概要: ホストグループの一括管理
- PL/SQL ユーティリティを使用するための準備
- 一般的なユーティリティ
- ホストオペレーティングシステムのプラットフォームとバージョン別のカテゴリ化
- ホストグループ ID の識別
- クライアントの移動またはコピー
- 属性別のクライアントの編成
- ホストグループの移動
- ホストグループの削除
- ホストの移動とホストグループの削除
- クライアントのバックアップサーバー別グループへの編成
- 重複したバックアップクライアントのマージ
- 一括ロードユーティリティ
- Veritas NetBackup ユーティリティ
- NetBackup ユーティリティの自動化
- クライアントの管理サーバー別グループへの編成
- 非アクティブなクライアントグループの設定
- 非アクティブなポリシーでのクライアント用のホストグループの設定
- ポリシー別のクライアントの設定
- ポリシーの種類別のクライアントの設定
- IBM Tivoli Storage Manager ユーティリティ
- ポリシードメイン別のクライアントの設定
- IBM Tivoli Storage Manager インスタンス別のクライアントの設定
- ユーティリティを自動的に実行するためのスケジュール設定
- 属性管理
- 汎用バックアップデータのインポート
- バックアップジョブの上書き
- ホストデータ収集の管理
- ポータルのシステム構成
- パフォーマンスプロファイルスケジュールのカスタマイズ
- ポータルアクセス用の LDAP および SSO 認証
- Oracle Database のユーザーパスワードの変更
- CyberArk との統合
- NetBackup IT Analytics のチューニング
- ログファイルの操作
- NetBackup IT Analytics のデバッグについて
- デバッグの有効化
- データベースのログ記録
- ポータルとデータコレクタのログファイル: ログ記録の削減
- データベース SCON ログ: ログの削減
- データベース SCON ログの更新
- audit.log へのユーザー活動のログ記録
- ユーザーの削除対象のみのログ記録
- すべてのユーザー活動のログ記録
- データコレクタのログファイル
- データコレクタのログファイルの編成
- Data Collector のログファイルの命名規則
- 一般的なデータコレクタのログファイル
- イベントまたはメタコレクタ ID の検索
- ポータルのログファイル
- データベースログファイル
- インストールまたはアップグレードログファイル
- レポートメトリックの定義
- SNMP トラップアラート
- SSL 証明書の構成
- SSL 証明書の構成
- SSL 実装の概要
- SSL 証明書の取得
- SSL を有効にするための Web サーバー構成の更新
- ポータルまたはデータ収集 SSL のための仮想ホストの構成
- Data Collector の SSL の有効化または無効化
- 電子メールで送信されたレポートの SSL の有効化または無効化
- SSL 構成のテストとトラブルシューティング
- 自己署名 SSL 証明書の作成
- 証明書を信頼するためのデータコレクタの構成
- Data Collector サーバー上のキーストアファイルの場所
- 証明書の Data Collector Java キーストアへのインポート
- ポータルサーバーのキーストア
- Linux サーバーへの仮想インターフェースの追加
- Windows での仮想またはセカンダリ IP アドレスの追加
- ポータルプロパティ: 形式とポータルのカスタマイズ
- SDK データベースオブジェクトのデータ保持期間
- SDK データベースオブジェクトのデータ保持期間
- データの集計
- ドメイン ID とデータベーステーブル名の検索
- SDK ユーザー定義オブジェクトの保持期間の更新の例
- SDK ユーザー定義データベースオブジェクト
- 容量: 基本データベーステーブルのデフォルトの保持期間
- 容量: EMC Symmetrix 拡張パフォーマンスのデフォルトの保持期間
- 容量: EMC XtremIO のデフォルトの保持期間
- 容量: Dell EMC ECS (エラスティッククラウドストレージ) のデフォルトの保持期間
- 容量: Windows ファイルサーバーのデフォルトの保持期間
- 容量: Pure Storage FlashArray のデフォルトの保持期間
- クラウド: AWS (アマゾンウェブサービス) のデフォルトの保持期間
- クラウド: Microsoft Azure のデフォルトの保持期間
- クラウド: OpenStack Ceilometer のデフォルトの保持期間
- マルチテナントデータのパージ保持期間の構成
- トラブルシューティング
- 付録 A. Oracle での Kerberos ベースのプロキシユーザーの認証
- 付録 B. NetBackup IT Analytics ポータルとデータレシーバでの TLS 対応 Oracle データベースの構成
- TLS (トランスポート層セキュリティ) の概要
- Oracle 環境での TLS
- 分割アーキテクチャの Linux における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 非分割アーキテクチャの Linux における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 分割アーキテクチャの Windows における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 非分割アーキテクチャの Windows における NetBackup IT Analytics を使用した Oracle での TLS の構成
- ユーザー環境での TLS の構成
- 付録 C. Kubernetes およびアプライアンス上の NetBackup 向けの NetBackup IT Analytics
AD/LDAP の認証と認可の構成
AD/LDAP でユーザー認証と認可を構成するには、ポータル管理者がポータルにユーザーグループを少なくとも 1 つ作成し、そのユーザーグループは AD/LDAP にもユーザーグループとして存在する必要があります。
- スーパーユーザーとしてポータルにログインし、[管理 (Admin)]、[ユーザーグループ (User Groups)]の順に移動します。
- AD/LDAP に存在するグループと同じグループ名を持つ新しいユーザーグループを作成します。ポータルで [LDAP 認証 (LDAP Authroization)] が有効化されている場合、このユーザーグループのメンバーのみがポータルにアクセスできます。
- 新しく作成されたユーザーグループに適切な権限を割り当てます。『ユーザーガイド』の「ユーザーグループ権限の設定」セクションを参照してください。
- 新しいユーザーが作成されるドメイン名を記録します。
ドメイン名を見つけるには、[管理 (Admin)]、[ドメイン (Domains)]、[ドメイン名 (Domain Name)]の順に移動します。
LDAP 認証を有効にする場合は、[LDAP ドメイン名 (LDAP Domain Name)]フィールドにこれを指定する必要があります。
- [管理 (Admin)]、[認証 (Authentication)]、[LDAP]の順に移動します。
- 認証、認可を有効にし、次の表に示すように構成を入力します。
フィールド名
説明
有効 (Enabled)
AD/LDAP 認証を有効にする場合に選択します。
認証 (Authorisation)
AD/LDAP 認証を有効にする場合に選択します。
選択すると、ポータルは AD グループに対してユーザーを認可します。新しいユーザーが属する少なくとも 1 つの AD グループを、ポータルでユーザーグループとして構成する必要があります。
メモ:
AD グループがポータルのユーザーグループにマッピングされていない場合、ログイン中に「外部 LDAP ユーザーにはユーザーグループマッピングが存在しません (No user group mapping present for external LDAP user)」というエラーが表示され、認証が失敗します。
LDAP ドメイン名 (LDAP Domain Name)
新しいユーザーが作成されるポータルドメイン名を入力します。ldap.authorization が true に設定されている場合に使用されます。
ポータルでドメイン名を見つけるには、[管理 (Admin)]、[ドメイン (Domains)]、[ドメイン名 (Domain Name)]の順に移動します。
例:
example.company.com
LDAP URL
AD のホストとポートを設定します。この URL 値には接頭辞 ldap: が付くことに注意してください。SSL を使用している場合は、接頭辞を ldaps に変更します。
外部 LDAP 構成に Active Directory を使用している場合は、ポート 389 の代わりにグローバルカタログポート 3268 を使用できます。
SSL を使用している場合は、標準の ldaps にセキュアグローバルカタログポート 3269 または 636 を使用できます。
例:
ldap://example.company.com:389
または
ldaps://example.company.com:636
検索ベース (Search Base)
認証ディレクトリ内のユーザーを見つけるために検索を実行する場所を設定します。
Active Directory (AD) 検索ベースと呼ばれることがよくあります。LDAP ユーザーを検索する場合、これは Active Directory ツリーの開始点になります。この検索ベース (LDAP 識別名形式) には、完全修飾ドメイン名が含まれています。NetBackup IT Analytics は、検索ベースを 1 つだけサポートします。
例:
example, company, com
DN
検索ベースを検索する権限を持つユーザーの ID を設定します。このユーザーはすべての LDAP ディレクトリサーバーを検索できる必要があります。
NetBackup IT Analytics には、Active Directory 構造内のベース DN (識別名) で検索する権限を持つユーザーが必要です。これは、管理者権限を持つアカウントである必要があり、通常は管理者です。このアカウントは、Active Directory がインストールされたときに作成された管理者アカウントか、作成時に管理者権限を付与されたアカウントまたは管理者権限を持つグループに配置されたアカウントのいずれかにできます。
Active Directory を使用している場合、Active Directory サービスで匿名バインドが許可されていないため、この設定を指定します。Microsoft Active Directory には、LDAP ディレクトリを検索するための十分な権限を持つユーザーのユーザー名とパスワードが必要です。
例:
CN=Admin,CN=Users,DC=example,DC=company,DC=com
メモ:
特殊文字 #、>、<、;、(、) および = はサポートされますが、/ および \ は DN と CN ではサポートされません。
DN パスワード (DN Password)
DN フィールドで使用しているユーザーのパスワードに設定します。
証明書 (Certificate)
キーストアパスの場所に移動し、AD 証明書を選択します。
ログイン属性 (Login Attribute)
認証に使用されるログイン属性を入力します。これは、uid や sAMAccountName などの、ユーザー名を指定する Active Directory の属性名です。
例:
sAMAccountName
新しいユーザードメイン (New User Domain)
新しいユーザーが作成されるポータルドメイン名を入力します。これは、 [認証 (Authorisation)] が有効になっている場合にのみ使用されます。ポータルでドメイン名を見つけるには、[管理 (Admin)]、[ドメイン (Domains)]、[ドメイン名 (Domain Name)]の順に移動します。
例:
example.company.com
ユーザー属性名の無効化 (Disable User Attribute Name)
ユーザーがアクティブか非アクティブかを示す AD 属性の値を入力します。AD を介したポータル認証中、REST API はこのフィールドに割り当てられている AD 属性を使用して、ユーザーがまだアクティブな AD ユーザーであるかどうかを確認します。
たとえば、ユーザーがアクティブか無効かを示す AD 属性が
ad.user.activeの場合、このフィールドの値として ad.user.active を割り当てる必要があります。ユーザー属性値の無効化 (Disable User Attribute Value)
AD 属性 ([ユーザー属性名の無効化 (Disable User Attribute Name)] で指定) と同じ値を入力します。これは、AD ユーザーが無効なことを示します。
たとえば、
ad.user.activeが AD のユーザー状態の属性である場合、live、inactive、joined などの複数の値を持つ場合があります。AD でユーザーが無効であることを値 inactive で示す場合、このフィールドの値として inactive を設定する必要があります。REST API は、この値と、このフィールドで指定された AD 属性の値を一致させます。値が一致すると、ユーザーは NetBackup IT Analytics ポータルで無効になります。
メモ:
ポータルのスーパーユーザーは、過去に AD とポータルの両方で非アクティブ化して、AD でのみ再びアクティブ化したユーザーを、明示的にアクティブ化する必要があります。適切な権限を持つポータル管理者も、このようなユーザーをアクティブ化できます。ユーザーをアクティブ化しない場合、ポータルへのアクセスは制限されます。
- [テスト接続 (Test Connection)]をクリックします。テストが失敗した場合は、必要な変更を行います。
- [保存 (Save)]をクリックします。
LDAP 認証および認可の有効化が完了しました。
メモ:
構成を保存できない場合は、最後のアップグレードの前に JDK トラストストアパスワードが変更されているかどうかを確認し、更新されたパスワードがポータルの[管理者 (Admin)]、[システム設定 (System Configuration)]、[カスタム (Custom)]ページで
portal.jdk.trustStore.passwordパラメータに割り当てられていることを確認します。Windows と Linux の JDK トラストストアの場所は、それぞれ<portal_installation_path>\jdk\lib\security\cacertsと/usr/java/lib/security/cacertsです。 - 既存のスーパーユーザー LDAP_ID を AD ユーザー名にマッピングするように変更するには、Oracle データベースサーバー上の既存のレコードを更新します。
たとえば、ログイン属性が user_name、実際の値が Admin である場合、以下のように既存のレコードを更新します。
# sqlplus portal/<portal_password>@scdb # UPDATE ptl_user SET ldap_id = 'Admin' WHERE user_id = 100000; # commit;
この更新されたユーザー名を使用して、aptare の代わりに外部ディレクトリにログインします。ユーザーアカウント aptare (user_id=100) は内部ブートストラップユーザーであるため、データベーステーブル間の参照整合性を維持するために必要です。したがって、外部 LDAP 統合に aptare を使用することは避ける必要があります。
メモ:
user_id = 100000 は、常にスーパーユーザーアカウントのデフォルトの user_id です。
- Active Directory に登録されているユーザーで、手順 2 で作成したグループにも属する任意のユーザーを使用して、ポータルにログインします。
ポータルが下位バージョンからアップグレードされた場合、認証タイプと SSO オプションをログイン画面に表示するためにブラウザキャッシュの消去が必要な場合があります。
ポータルでユーザーを自動的に作成するには、AD/LDAP の各ユーザーに対して次の属性を設定する必要があります。
givenName: 必須。ユーザーの名として使用されます。
telephoneNumber: オプション
mobile: オプション
mail: 必須
???を参照してください。
メモ:
何らかの理由でポータルから LDAP 構成が無効にされている場合、ポータル管理者はポータルのすべての AD/LDAP ユーザーに対してパスワードを設定する必要があります。