NetBackup™ 安全和加密指南

验证主服务器设置

运行 bpnbat -whoami 并指定计算机凭据，以指明主机是在哪个域中注册的以及证书所代表的计算机的名称。

  bpnbat -whoami -cf 
    "install_path\netbackup\var\vxss\credentials\
   master.company.com
    "Name: master.company.com
   Domain: NBU_Machines@master.company.com
   Issued by: /CN=broker/OU=root@master.company.com/O=vx
   Expiry Date: Oct 31 20:17:51 2007 GMT
   Authentication method: Veritas Private Security
   Operation completed successfully.

如果列出的域不是 NBU_Machines@master.company.com，请考虑对怀疑有问题的名称 (master) 运行 bpnbat -addmachine。此命令在服务于 NBU_Machines 域 (master) 的计算机上运行。

然后，在需要放置凭据的计算机上，运行：bpnbat -loginmachine

建立 root 凭据

如果在设置身份验证服务器或授权服务器时遇到问题，且应用程序质疑您的 root 凭据：请确保 $HOME 环境变量对于 root 是正确的。

使用以下命令检测当前值：

echo $HOME

此值应该与 root 的主目录匹配，它通常位于 /etc/passwd 文件中。

请注意，在切换为 root 时，可能需要使用：

su -

而不是仅使用 su，以正确地适应 root 环境变量。

失效凭据消息

如果凭据失效或不正确，则在运行 bpnbaz 或 bpnbat 命令时，可能会收到以下信息：

Supplied credential is expired or incorrect. Please
reauthenticate and try again.

可以运行 bpnbat -Login 以更新失效的凭据。

有用的调试日志

调试 NetBackup Access Control 时以下日志很有用：

在主服务器上：admin、bpcd、bprd、bpdbm、bpjobd、bpsched

在客户端上：admin、bpcd

访问控制：nbatd、nbazd。

若主服务器在 REQUIRED 模式下使用 NetBackup Access Control (NBAC)，且 EMM 数据库为远程数据库，则日志记录信息将出现在 bpdbm 日志中。

有关适当日志记录的说明，请参见NetBackup 故障排除指南。

凭据的存储位置

NetBackup Authentication and Authorization 凭据存储在以下目录中：

对于 UNIX：

用户凭据：$HOME/.vxss

计算机凭据：/usr/openv/var/vxss/credentials/

对于 Windows：

<user_home_dir>\Application Data\VERITAS\VSS

系统时间如何影响访问控制

凭据有一个生成时间和失效时间。系统时钟时间差别太大的计算机会将凭据视为在将来创建的或过早失效。如果在系统之间通信时遇到问题，请考虑对系统时间进行同步。

NetBackup Authentication and Authorization 端口

NetBackup Authentication and Authorization 后台驻留程序服务将端口 13783 和 13722 用于二线支持介质服务器和客户端。该服务使用 PBX 连接。

可以使用以下命令验证这些进程是否正在侦听：

身份验证：

UNIX

netstat -an | grep 13783

Windows

netstat -a -n | find "13783"

授权：

UNIX

netstat -an | grep 13722

Windows

netstat -a -n | find "13722"

停止共享服务的 NetBackup Authentication and Authorization 后台驻留程序

停止 NetBackup Authentication and Authorization 服务时，首先停止授权，然后停止身份验证。

UNIX - 请使用以下命令。

要停止授权服务，请使用示例中所示的终止信号：

   # ps -fed |grep nbazd
     root 17018     1 4 08:47:35 ?     0:01 ./nbazd
     root 17019 16011 0 08:47:39 pts/2 0:00 grep nbazd
    # kill 17018

如示例中所示，要停止身份验证服务，请使用终止信号：

   # ps -fed |grep nbatd
     root 16018     1 4 08:47:35 ?     0:01 ./nbatd
     root 16019 16011 0 08:47:39 pts/2 0:00 grep nbatd
    # kill 16018

Windows

因为这些服务不显示在 NetBackup 活动监视器中，请使用 Windows 提供的“服务”实用程序。

如果您将自己锁在 NetBackup 之外

如果没有正确配置访问控制，您可能会将自己锁在NetBackup 管理控制台之外。

如果此锁定发生，可使用 vi 读取 bp.conf 条目 (UNIX) 或使用 regedit (Windows) 查看以下位置的 Windows 注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Veritas\NetBackup\
CurrentVersion\config

您可以查找以查看是否正确设置了以下条目：AUTHORIZATION_SERVICE、AUTHENTICATION_DOMAIN 和 USE_VXSS。

管理员可能不想使用 NetBackup Access Control 或者没有安装授权库。确保已将 USE_VXSS 条目设置为Prohibited，或者已将该条目完全删除。

介质服务器上的存储单元备份在 NBAC 环境中可能无法工作

NetBackup 域中某个系统的主机名（主服务器、介质服务器或客户端）与 bp.conf 文件中指定的主机名应该相同。

使用 nbac_cron 实用程序

使用 nbac_cron.exe 实用程序可创建用于运行 cron 或 at 作业的标识。

有关 nbac_cron 实用程序的更多信息：

请参见关于 nbac_cron 实用程序。

nbac_cron.exe 位于以下位置：

UNIX -/opt/openv/netbackup/bin/goodies/nbac_cron

Windows -install_path\netbackup\bin\goodies\nbac_cron.exe

有关使用 nbac_cron 实用程序的详细信息：

请参见使用 nbac_cron 实用程序。

在 Windows 上进行恢复后启用 NBAC

使用以下过程可在 Windows 上进行恢复后手动启用 NBAC。

在群集安装中，setupmaster 可能会失败

在安装群集时存在一个已知问题，即如果配置文件在共享磁盘上，setupmaster 可能会失败。

共享安全服务（vxatd 或 vxazd）与主服务器一起组成群集时，群集的已知问题

共享安全服务（vxatd 或 vxazd）与主服务器一起组成群集时，群集存在一个已知问题。执行 bpnbaz -SetupMaster 命令和设置安全性 (NBAC) 时，请持久冻结共享安全服务服务组（如果适用），或者使服务脱机（但确保其共享磁盘联机），然后运行 setupmaster 命令。

在群集主服务器中升级 NBAC 时的已知问题，即 bp.conf 文件中的所有 AUTHENTICATION_DOMAIN 条目都将随作为身份验证代理的主服务器虚拟名称而更新

升级群集主服务器的 NBAC 时存在一个已知问题，即 bp.conf 文件中的所有 AUTHENTICATION_DOMAIN 条目都将随作为身份验证代理的主服务器虚拟名称而更新。如果存在指代主服务器以外的其他身份验证代理的任何域条目（且主服务器不服务于该域），则需要从 bp.conf 文件中手动删除该条目。

Windows 2003 双堆栈计算机的已知问题

Windows 2003 双堆栈计算机存在一个已知问题。需要从 http://support.microsoft.com/ 获取 Microsoft 修补程序 kb/928646。

与访问控制失败以及短主机名和长主机名相关的已知问题

存在一个已知问题，其中包括与访问控制有关的故障。请确定短主机名和长主机名是否可以正确解析，以及是否可以解析为相同的 IP 地址。

代理配置文件的 ClusterName 设置为 AT 的虚拟名称时，在群集中升级 NBAC 的已知问题

代理配置文件的 ClusterName 设置为 AT 的虚拟名称时，在群集中升级 NBAC 时存在一个已知问题。该设置将按原样迁移到嵌入式代理中。嵌入式代理在其配置文件中将 UseClusterNameAsBrokerName 设置为 1。当发送代理域映射请求时，它将使用共享 AT 的虚拟名称作为代理名称。bpnbaz -GetDomainInfosFromAuthBroker 不返回任何内容。在升级过程中，将会更新 bp.conf 文件，使其具有 NetBackup 虚拟名称。

bpcd 的多个实例可能导致错误的已知问题

bpnbaz -SetupMedia 命令中存在一个已知问题，bprd 使用 AT_LOGINMACHINE_RQST 协议与目标框上的 bpcd 进行对话。会生成一个 bpcd 新实例。该命令完成后，它会尝试释放 char 数组作为常规指针，这可能会导致 bpcd 在客户端上进行核心转储。应该不会失去相应的功能，因为此 bpcd 实例只是临时创建的，会正常退出。父 bpcd 不会受到影响。

将共享 AT 与共享驱动器上的配置文件结合使用的群集的已知问题

将共享 AT 与共享驱动器上的配置文件结合使用的群集存在一个已知问题。将共享服务解除挂钩只在可访问此共享驱动器的节点上有效。在其余节点上无法解除挂钩。这意味着，执行 bpnbaz -SetupMaster 来管理远程代理时，有时可能会失败。您必须手动配置被动节点。对每个被动节点运行 bpnbaz -SetupMedia。

与支持 NBAZDB 的数据库实用程序相关的已知问题

存在一个已知问题，即有些数据库实用程序支持 NBAZDB，而其他数据库实用程序不支持。

以下数据库实用程序支持 NBAZDB：nbdb_backup、nbdb_move、nbdb_ping、nbdb_restore 和 nbdb_admin。

以下实用程序不支持 NBAZDB：nbdb_unload 和 dbadm。