Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
UNIX マスターサーバーの検証
UNIX マスターサーバーを検証するには次の手順を使います。
UNIX マスターサーバー設定を検証します。
認可の照合が許可されているコンピュータを検証します。
データベースが正しく構成されていることを検証します。
nbatd および nbazd プロセスが実行されていることを検証します。
ホストプロパティが正しく構成されていることを検証します。
次の表に、UNIX マスターサーバーの検証プロセスを示します。
表: UNIX マスターサーバーの検証プロセス
プロセス | 説明 |
|---|---|
UNIX マスターサーバー設定の検証 | ホストが登録されているドメイン (プライマリ認証ブローカーが存在する場所)、および証明書に示されているコンピュータの名前を判断します。 bpnbat に -whoami およびマスターサーバーのクレデンシャルファイルを指定する -cf を指定して実行します。 サーバークレデンシャルは 例: bpnbat -whoami -cf
/usr/openv/var/vxss/credentials/unix_master.company.com
Name: unix_master.company.com
Domain: NBU_Machines@unix_master.company.com
Issued by: /CN=broker/OU=root@unix_master/O=vx
Expiry Date: Oct 31 15:44:30 2007 GMT
Authentication method: Veritas Private Security
Operation completed successfully.表示されたドメインが NBU_Machines@unix_master.company.com でない場合、またはファイルが存在しない場合、対象の名前 (unix_master) に対して bpnbat -addmachine を実行することを検討してください。 NBU_Machines ドメインとして機能するコンピュータ (unix_master) でこのコマンドを実行します。 次に、証明書を配置するコンピュータ(unix_master)上で、コマンド bpnbat -loginmachine を実行します。 メモ: クレデンシャルの期限が切れているかどうかを判断する場合、有効期限がローカル時間ではなく GMT で表示されることに注意してください。 メモ: この検証の残りの手順では、コンソールウィンドウからコマンドを実行することを想定しています。 このコンソールウィンドウから、対象のユーザー識別情報で NBU_Security Admin のメンバーである識別情報を使用して bpnbat -login が実行されています。この識別情報は、通常、セキュリティが設定された最初の識別情報です。 |
認証ブローカーに存在するコンピュータの検証 | 認証ブローカーに存在するコンピュータを検証するには、管理者グループのメンバーでログオンし、次のコマンドを実行します。 bpnbat -ShowMachines 実行されているコンピュータが次のコマンドで表示されます。 bpnbat -AddMachine |
認可の照合が許可されているコンピュータの検証 | 認可の照合を実行可能なコンピュータを検証するには、認可ブローカーで root ユーザーとしてログオンし、次のコマンドを実行します。 bpnbaz -ShowAuthorizers
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@unix_master.company.com
Name: unix_master.company.com
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@unix_master.company.com
Name: unix_media.company.com
Operation completed successfully.このコマンドを実行すると、unix_master および unix_media が認可を照合する権限を所有していることが示されます。両方のサーバーが、同じ vx (Veritas プライベートドメイン) ドメイン NBU_Machines@unix_master.company.com に対して認証されていることに注意してください。 認可済みコンピュータのリストにマスターサーバーまたはメディアサーバーが表示されない場合、bpnbaz -allowauthorization <server_name> を実行して、表示されていないコンピュータを追加します。 |
データベースが正しく構成されていることの検証 | データベースが正しく構成されていることを検証するには、bpnbaz -listgroups を実行します。 bpnbaz -listgroups
NBU_Operator
NBU_Admin
NBU_SAN Admin
NBU_User
NBU_Security Admin
Vault_Operator
Operation completed successfully.グループが表示されない場合または bpnbaz -listmainobjects を実行してもデータが戻されない場合は、bpnbaz -SetupSecurity を実行します。 |
nbatd および nbazd プロセスが実行されていることの検証 | ps コマンドを実行して、指定したホスト上で nbatd および nbazd プロセスが実行されていることを確認します。 必要に応じて、これらのプロセスを起動します。 例: ps -fed |grep vx
root 10716 1 0 Dec 14 ? 0:02 /usr/openv/netbackup/bin/private/nbatd
root 10721 1 0 Dec 14 ? 4:17 /usr/openv/netbackup/bin/private/nbazd |
ホストプロパティが正しく構成されていることの検証 | [アクセス制御 (Access Control)]ホストプロパティで、[NetBackup Product Authentication and Authorization]プロパティが正しく設定されていることを検証します。 この設定は、すべてのコンピュータが NetBackup Authentication and Authorization を使うかどうかによって[自動 (Automatic)]または[必須 (Required)]のいずれかにする必要があります。 すべてのコンピュータで NetBackup Authentication and Authorization が使用されているわけではない場合は、[自動 (Automatic)]に設定します。 [アクセス制御 (Access Control)]ホストプロパティで、リスト内の認証ドメインの綴りが正しいことを確認します。 また、ドメインが適切なサーバー (有効な認証ブローカー) を示していることを確認します。 すべてのドメインが UNIX ベースである場合、ドメインは、認証ブローカーを実行している UNIX マシンを示している必要があります。 また、このプロセスは、cat を使用して bp.conf で確認することもできます。 cat bp.conf
SERVER = unix_master
SERVER = unix_media
CLIENT_NAME = unix_master
AUTHENTICATION_DOMAIN = company.com "default company
NIS namespace"
NIS unix_master 0
AUTHENTICATION_DOMAIN = unix_master "unix_master password file"
PASSWD unix_master 0
AUTHORIZATION_SERVICE = unix_master.company.com 0
USE_VXSS = AUTOMATIC
# |