Veritas NetBackup™ コマンドリファレンスガイド
- 概要
- 付録 A. NetBackup コマンド
- acsd
- add_media_server_on_clients
- backupdbtrace
- backuptrace
- bmrc
- bmrconfig
- bmrepadm
- bmrprep
- bmrs
- bmrsrtadm
- bp
- bparchive
- bpbackup
- bpbackupdb
- bpcatarc
- bpcatlist
- bpcatres
- bpcatrm
- bpcd
- bpchangeprimary
- bpclient
- bpclimagelist
- bpclntcmd
- bpclusterutil
- bpcompatd
- bpconfig
- bpdbjobs
- bpdbm
- bpdgclone
- bpdown
- bpduplicate
- bperror
- bpexpdate
- bpfis
- bpflist
- bpgetconfig
- bpgetdebuglog
- bpimage
- bpimagelist
- bpimmedia
- bpimport
- bpinst
- bpkeyfile
- bpkeyutil
- bplabel
- bplist
- bpmedia
- bpmedialist
- bpminlicense
- bpnbat
- bpnbaz
- bppficorr
- bpplcatdrinfo
- bpplclients
- bppldelete
- bpplinclude
- bpplinfo
- bppllist
- bpplsched
- bpplschedrep
- bppolicynew
- bpps
- bprd
- bprecover
- bprestore
- bpretlevel
- bpschedule
- bpschedulerep
- bpsetconfig
- bpstsinfo
- bpstuadd
- bpstudel
- bpstulist
- bpsturep
- bptestbpcd
- bptestnetconn
- bptpcinfo
- bpup
- bpverify
- cat_convert
- cat_export
- cat_import
- configurePorts
- create_nbdb
- csconfig cldinstance
- csconfig cldprovider
- csconfig meter
- csconfig throttle
- duplicatetrace
- importtrace
- jbpSA
- jnbSA
- ltid
- manageClientCerts
- mklogdir
- nbauditreport
- nbcatsync
- NBCC
- NBCCR
- nbcertcmd
- nbcertupdater
- nbcldutil
- nbcomponentupdate
- nbcplogs
- nbdb_admin
- nbdb_backup
- nbdb_move
- nbdb_ping
- nbdb_restore
- nbdb_unload
- nbdbms_start_server
- nbdbms_start_stop
- nbdc
- nbdecommission
- nbdelete
- nbdeployutil
- nbdevconfig
- nbdevquery
- nbdiscover
- nbdna
- nbemm
- nbemmcmd
- nbexecute
- nbfindfile
- nbfirescan
- nbftadm
- nbftconfig
- nbgetconfig
- nbhba
- nbholdutil
- nbhostidentity
- nbhostmgmt
- nbhypervtool
- nbjm
- nbkmsutil
- nboraadm
- nborair
- nbpem
- nbpemreq
- nbperfchk
- nbplupgrade
- nbrb
- nbrbutil
- nbregopsc
- nbreplicate
- nbrestorevm
- nbseccmd
- nbsetconfig
- nbsnapimport
- nbsnapreplicate
- nbsqladm
- nbstl
- nbstlutil
- nbstop
- nbsu
- nbsvrgrp
- resilient_clients
- restoretrace
- stopltid
- tl4d
- tl8d
- tl8cd
- tldd
- tldcd
- tlhd
- tlhcd
- tlmd
- tpautoconf
- tpclean
- tpconfig
- tpext
- tpreq
- tpunmount
- verifytrace
- vltadm
- vltcontainers
- vlteject
- vltinject
- vltoffsitemedia
- vltopmenu
- vltrun
- vmadd
- vmchange
- vmcheckxxx
- vmd
- vmdelete
- vmoprcmd
- vmphyinv
- vmpool
- vmquery
- vmrule
- vmupdate
- vnetd
- vwcp_manage
- vxlogcfg
- vxlogmgr
- vxlogview
- W2KOption
名前
bpinst — NetBackup レガシー暗号化の構成
概要
bpinst -LEGACY_CRYPT [-crypt_option option] [-crypt_strength strength] [-passphrase_prompt |-passphrase_stdin] [-verbose] [ [-policy_encrypt 0 | 1] -policy_names] name1 [name2 ... nameN]
UNIX システムでは、このコマンドへのディレクトリパスは /usr/openv/netbackup/bin/ です。
Windows システムでは、このコマンドへのディレクトリパスは install_path\NetBackup\bin\ です。
説明
NetBackup Encryption は、バックアップおよびアーカイブのファイルレベルでの暗号化を提供します。
-LEGACY_CRYPT: レガシー暗号化方式。以前に使用していた暗号化の強度 (40 ビット DES および 56 ビット DES) を選択できます。
-LEGACY_CRYPT オプションを指定して bpinst コマンドを実行すると、暗号化をサポートできる NetBackup クライアントにレガシーの NetBackup Encryption が構成されます。マスターサーバーのホスト上にインストールされたクライアントに対して、暗号化を構成することもできます。
マスターサーバーで bpinst -LEGACY_CRYPT を起動して、クライアントに NetBackup Encryption を構成します。1 回の起動で、クライアントおよびマスターサーバーの両方で必要な構成の変更が行われます。
メモ:
クライアントで、NetBackup 構成オプションが DISALLOW_SERVER_FILE_WRITES に設定されていないことを確認してください。このオプションを設定すると、サーバーはクライアントにソフトウェアを構成することができません。
オプション
- -LEGACY_CRYPT
このオプションは、40 ビットまたは 56 ビットの DES 暗号化を使用する場合に必要です。DES 暗号化を構成するには、このオプションを最初に指定して bpinst のコマンドを使用します。指定する順序は重要です。このオプションは省略できません。
- -crypt_option option
このオプションを指定すると、NetBackup クライアントで、CRYPT_OPTION 構成エントリが構成されます。-crypt_option を指定しない場合、クライアントでは暗号化されたバックアップまたは暗号化されないバックアップのいずれかが許可されます (ALLOWED を参照)。
option に指定可能な値は、次のとおりです。
DENIED | denied | -1
クライアントが暗号化されたバックアップを許可しないように設定します。サーバーが暗号化されたバックアップを要求すると、エラーであると判断されます。このオプションは、暗号化用に構成されていないクライアントのデフォルトです。
ALLOWED | allowed | 0
クライアントが、暗号化されたバックアップまたは暗号化されていないバックアップを許可するように設定します。ALLOWED は、デフォルトの条件です。
REQUIRED | required | 1
クライアントが暗号化されたバックアップを要求するように設定します。サーバーが暗号化されないバックアップを要求すると、エラーであると判断されます。
- -crypt_strength strength
このオプションを指定すると、NetBackup クライアントで、CRYPT_STRENGTH 構成エントリが構成されます。このオプションを指定しない場合、クライアントの CRYPT_STRENGTH 構成エントリは変更されないままです。
strength に指定可能な値は、次のとおりです。
DES_40 | des_40 | 40
40 ビット DES 暗号化を指定します。この値は、暗号化用に構成されていないクライアントのデフォルトです。
DES_56 | des_56 | 56
56 ビット DES 暗号化を指定します。
- -passphrase_prompt | -passphrase_stdin
メモ:
パスフレーズを控えておくようにしてください。鍵ファイルが破損または消失した場合、鍵ファイルを再生成するためにパスフレーズが必要になります。正しい鍵ファイルがないと、暗号化されたバックアップをリストアすることはできません。
NetBackup では、パスフレーズを使用して各クライアントの鍵ファイルに格納するデータを作成します。NetBackup では、鍵ファイルのデータを使用して、バックアップデータの暗号化および復号化に必要な暗号化鍵を作成します。このオプションは、-LEGACY_CRYPT オプションだけに適用されます。
-passphrase_prompt オプションでは、パスフレーズを入力するプロンプトが表示されます。パスフレーズを入力しても、実際のパスフレーズは表示されません。
-passphrase_stdin オプションは、標準入力でパスフレーズを読み込みます。パスフレーズは 2 回入力する必要があります。これは、パスフレーズが表示されてしまうため、-passphrase_prompt オプションよりセキュリティの低いオプションです。ただし、シェルスクリプトで bpinst -LEGACY_CRYPT を実行する場合よりも便利な場合があります。
NetBackup では、bpinst -LEGACY_CRYPT コマンドで指定するすべてのクライアントに対してパスフレーズを使用します。クライアントごとにパスフレーズを区切る場合は、クライアントごとに個別の bpinst -LEGACY_CRYPT コマンドを入力します。
パスフレーズを指定すると、bpinst -LEGACY_CRYPT によってクライアントで鍵ファイルが作成または更新されます。パスフレーズから生成された暗号化鍵は、後続のバックアップに使用されます。古い暗号化鍵は、以前のバックアップをリストアするために鍵ファイルに保存されます。
-passphrase_prompt または -passphrase_stdin オプションのいずれかを指定しないと、クライアントの鍵ファイルは変更されないままです。
- -verbose
このオプションを指定すると、各クライアントの現在の暗号化構成および各クライアントでのインストールおよび再構成の情報が出力されます。
- -policy_encrypt 0 | 1
このオプションでは、NetBackup ポリシーに暗号化ポリシー属性を設定します。-policy_names オプションを指定した場合だけ -policy_encrypt を指定できます。指定可能な値は、次のとおりです。
0: 暗号化属性の設定を解除 (または設定されていない状態のままに) し、サーバーが、このポリシーのクライアントに暗号化を要求しないようにします。この設定は、暗号化用に構成されていないポリシーのデフォルトです。
1: 暗号化属性を設定し、サーバーがこのポリシーのクライアントに暗号化を要求するようにします。
このオプションを指定しないと、ポリシーの暗号化属性は変更されないままです。
- -policy_names
このオプションでは、NetBackup ポリシー名を指定します。
-policy_names オプションを指定すると、bpinst -LEGACY_CRYPT によって、指定した各ポリシーのすべてのクライアントが構成されます。-policy_names オプションを省略すると、名前は NetBackup クライアント名であると判断されます。
- name1 [name2 ... nameN]
1 つ以上の NetBackup クライアントまたはポリシー名を指定します。どちらを指定したかということは、-policy_names オプションの指定の有無によって異なります。-policy_names オプションを省略すると、名前は NetBackup クライアント名であると判断されます。
注意事項
次の注意事項は、-LEGACY_CRYPT オプションに適用されます。
NetBackup をクラスタ環境で実行している場合、クライアントへの構成データのプッシュインストールを実行できるのは、アクティブノードからだけです。
クラスタ内にあるクライアントに構成をプッシュインストールする場合は、クライアントリストに仮想名ではなく個々のノードのホスト名を指定します。
クライアントからの暗号化されたファイルのリストアが終了したら、作成された鍵ファイルの削除またはファイル名の変更を行います。元の鍵ファイルを元の場所または元の名前に戻します。鍵ファイルを元の場所または元の名前に戻さないと、暗号化されたバックアップをリストアできない場合があります。
既存の 40 ビットまたは 56 ビットの暗号化ライセンスキーは、アップグレードで有効です。
bpinst -LEGACY_CRYPT によってネットワーク経由でクライアントに送信されるパスフレーズは、個別に定義された NetBackup 40 ビット DES 鍵によって暗号化されます。
各 NetBackup クライアントの鍵ファイルは、個別に定義された NetBackup DES 鍵で暗号化されます。鍵が 40 ビットか 56 ビットかは、クライアントの構成方法によって異なります。鍵ファイルへのアクセスは、クライアントコンピュータの管理者だけに制限します。UNIX クライアントの場合、鍵ファイルの所有者が root ユーザー、アクセス権モード設定が 600 となる必要があります。鍵ファイルを NFS を介してエクスポートすることはできません。
クラスタ内のすべてのノードで同じ鍵ファイルを使用する必要があります。
パスフレーズを控えておいてください。ディザスタリカバリが必要な場合、bpinst -LEGACY_CRYPT を実行してクライアント上で鍵ファイルを再作成することが必要となる場合があります。たとえば、orca という名前の NetBackup クライアントが暗号化されたバックアップの実行中に、orca のファイルが消失する障害が発生したとします。このような場合、バックアップをリストアするために、クライアントの暗号化を再インストールおよび構成する必要があります。
オペレーティングシステムと NetBackup をリストアする方法について詳しくは、『NetBackup トラブルシューティングガイド』を参照してください。
暗号化を使用する場合にディザスタリカバリを提供する方法 (orbit という名前のクライアント)
- orbit のオペレーティングシステムを再インストールします。
- orbit の NetBackup クライアントソフトウェアを再インストールおよび構成します。
- 次のコマンドを使用して、orbit の暗号化を再インストールし、構成します。
# bpinst -LEGACY_CRYPT -crypt_option allowed
- 次のコマンドを使用して、パスフレーズを作成するために bpinst -LEGACY_CRYPT を起動します。
# bpinst -LEGACY_CRYPT -passphrase_prompt orbit Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
orbit で使用するパスフレーズを入力します。
- 次のように入力して、orbit で使用される後続の各パスフレーズに、bpinst -LEGACY_CRYPT を起動します。
# bpinst -LEGACY_CRYPT -passphrase_prompt orbit Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
- バックアップファイルを orbit にリストアします。
例
例 1 - policy40 という名前のポリシーの UNIX クライアントに 1 行の 40 ビット DES 暗号化が構成されます。
# bpinst -LEGACY_CRYPT -crypt_option allowed -crypt_strength des_40 -policy_encrypt 1 -policy_names policy40
-policy_encrypt オプションを使用して、ポリシーに暗号化属性を設定します。NetBackup 管理ユーティリティを使用して、暗号化属性を設定することもできます。
例 2 - -passphrase_prompt オプションを使用して、policy40 という名前のポリシーに含まれるすべてのクライアントのパスフレーズが作成されます。
# bpinst -LEGACY_CRYPT -passphrase_prompt -policy_names policy40 Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
例 3 - strong という名前の NetBackup クライアントで 56 ビット DES 暗号化を使用する必要があることがすべて 1 行で指定されます。
# bpinst -LEGACY_CRYPT -crypt_option required -crypt_strength des_56 strong
例 4 - strong という名前のクライアントの構成が一覧表示されます。
# bpinst -LEGACY_CRYPT -verbose strong BPCD protocol version 8.0.0 on client strong 40-bit library version is 3.1.0.40 on client strong 56-bit library version is 3.1.0.56 on client strong BPCD platform is redhat for client strong Current configuration entries are: CRYPT_KEYFILE = /usr/openv/netbackup/keyfile CRYPT_LIBPATH = /usr/openv/lib CRYPT_OPTION = required CRYPT_STRENGTH = des-56 V_PATH_SHARE = /usr/openv/share No update of NetBackup configuration required for client strong No update of NetBackup pass phrase required for client strong
ファイル
次は UNIX システムで使われるファイルです。
UNIX サーバーのコマンド
/usr/openv/netbackup/bin/bpinst
UNIX クライアントの 40 ビット DES および 56 ビット DES の暗号化ライブラリ
/usr/openv/lib/libvdes*.*
UNIX クライアントの 40 ビット DES および 56 ビット DES の暗号化鍵ファイル
/usr/openv/netbackup/keyfile
UNIX クライアントの 40 ビット DES および 56 ビット DES の暗号化鍵ファイルユーティリティ
/usr/openv/netbackup/bin/bpkeyfile
UNIX クライアントの 128 ビットおよび 256 ビット OpenSSL 暗号の暗号化鍵ファイルユーティリティ
/usr/openv/netbackup/bin/bpkeyutil /usr/openv/share/ciphers.txt
次は Windows システムで使われるファイルです。
Windows サーバーコマンド
install_path\NetBackup\bin\bpinst.exe
Windows クライアントの暗号化鍵ファイル
install_path\NetBackup\var\keyfile.dat
Windows クライアントの暗号化ライブラリ
install_path\bin\libvdes*.dll
Windows クライアントの暗号化鍵ファイルユーティリティ
install_path\bin\bpkeyfile.exe install_path\share\ciphers.txt