NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像同步复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- 操作系统管理员的 NetBackup 界面访问权限
- 智能卡或数字证书
- 单点登录 (SSO)
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 使用带 NBAC 的更改服务器时的配置要求
- 将安全配置风险降至最低
- 配置多重身份验证
- 配置多人授权
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 管理用于对基于主机 ID 的证书私钥加密的密码和密码密钥
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中用于安全通信的密码
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- 使用非特权用户帐户运行 NetBackup 命令
- NetBackup 中数据的不可变性和不可删除性
- 异常检测
- 第 IV 部分. 恶意软件扫描
配置 SAML keystore 以及添加并启用 IDP 配置
在继续执行以下步骤之前,请确保已下载 IDP 元数据 XML 文件并将其保存在 NetBackup 主服务器上。
配置 SAML keystore 以及添加并启用 IDP 配置
- 以 root 或管理员身份登录到主服务器。
- 运行以下命令。
对于 IDP 和 NetBackup CA SAML KeyStore 配置:
nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file [-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] [-cCert] [-f] [-M primary server]
或者,对于 IDP 和 ECA SAML KeyStore 配置:
根据是要使用配置的 NetBackup ECA KeyStore 配置 SAML ECA KeyStore,还是要提供 ECA 证书链和私钥,请运行以下命令:
使用配置的 NetBackup ECA keystore:
nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file[-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] -cECACert -uECA existing ECA configuration [-f] [-M Primary Server]
使用用户提供的 ECA 证书链和私钥:
nbidpcmd -ac -n IDP configuration name -mxp IDP XML metadata file[-t SAML2] [-e true | false] [-u IDP user field] [-g IDP user group field] -cECACert -certPEM certificate chain file -privKeyPath private key file [-ksPassPath KeyStore passkey file] [-f] [-M primary server]
替换如下变量:
IDP configuration name 是为 IDP 配置提供的唯一名称。
IDP XML metadata file 是 XML 元数据文件的路径,该文件包含 Base64URL 编码格式的 IDP 配置详细信息。
-e true | false 会启用或禁用 IDP 配置。必须已添加并启用 IDP 配置,否则用户无法使用单点登录 (SSO) 选项登录。尽管可以在 NetBackup 主服务器上添加多个 IDP 配置,但一次只能启用一个 IDP 配置。
SAML 属性名称 IDP user field 和 IDP user group field 用于映射身份提供程序中的用户身份信息和组信息。这些字段是可选字段,如果未提供,默认情况下会将其映射到 userPrincipalName 和 memberOf SAML 属性。
例如,如果已在身份提供程序中自定义属性映射以使用电子邮件和组等属性,则在配置 SAML 配置时,需要为电子邮件提供 -u 选项,为组提供 -g 选项。
如果在配置期间未为这些属性提供值,请确保身份提供程序针对 userPrincipalName 和 memberOf 属性返回值。
例如:
如果 SAML 响应如下所示:
saml:AttributeStatement <saml:Attribute Name="userPrincipalName"> <saml:AttributeValue>username@domainname</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="memberOf"> <saml:AttributeValue>CN=group name, DC=domainname</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
它意味着需要根据“saml:Attribute Name”字段映射 -u 和 -g 选项。
注意:
对于映射到 -u 选项(默认为 userPrincipalName)的字段,请确保以 username@domainname 格式返回 SAML 属性值。如果在返回组信息时包括域名,则该域名应遵循“(CN=group name, DC=domainname)”或“(domainname\groupname)”格式。
但是,如果以纯文本格式返回组名(不含域信息),则在 SAML RBAC 组中映射该组名时不应包含域名。
primary Server 是要添加或修改 IDP 配置的主服务器的主机名或 IP 地址。默认情况下,选择运行命令的 NetBackup 主服务器。
Certificate Chain File 是证书链文件路径。该文件必须为 PEM 格式,并且执行配置的主服务器必须可以访问该文件。
Private Key File 是私钥文件路径。该文件必须为 PEM 格式,并且执行配置的主服务器必须可以访问该文件。
KeyStore Passkey File 是 KeyStore 密码文件路径,并且执行配置的主服务器必须可以进行访问。
如果已配置身份提供程序,并且 SAML 属性名称为 userPrincipalName 和 memberOf,则在配置时不需要提供 -u 和 -g 选项。如果使用的是任何其他自定义属性名称,请针对 -u 和 -g 提供这些名称,如下所示:
例如:
如果身份提供程序 SAML 属性名称映射为“电子邮件”和“组”,请使用以下命令进行配置:
nbidpcmd -ac -n veritas_configuration -mxp file.xml -t SAML2 -e true -u email -g groups -cCert -Mprimary_server.abc.com
-u 和 -g 是可选字段,这取决于身份提供程序配置。确保指定的参数值与配置时提供的参数值相同。