Guide de sécurité et de chiffrement NetBackup™

Vérification des paramètres de serveur maître

L'exécution de la commande bpnbat -whoami et la spécification des informations d'authentification d'ordinateur indiquent dans quel domaine un hôte est enregistré et le nom de l'ordinateur que le certificat représente.

  bpnbat -whoami -cf 
    "install_path\netbackup\var\vxss\credentials\
   master.company.com
    "Name: master.company.com
   Domain: NBU_Machines@master.company.com
   Issued by: /CN=broker/OU=root@master.company.com/O=vx
   Expiry Date: Oct 31 20:17:51 2007 GMT
   Authentication method: Veritas Private Security
   Operation completed successfully.

Si le domaine listé n'est pas NBU_Machines@master.company.com, considérez l'exécution de la commande bpnbat -addmachine pour le nom en question (maître). La commande est exécutée sur l'ordinateur qui sert le domaine NBU_Machines (maître).

Puis, sur l'ordinateur où vous voulez placer les informations d'authentification, exécutez : bpnbat -loginmachine

Établissement des informations d'authentification racine

Si vous avez des problèmes pour installer le serveur d'authentification ou le serveur d'autorisation et que l'application se plaint à propos de vos habilitations comme root : assurez-vous que la variable environnementale $HOME est correcte pour root.

Utilisez la commande suivante pour découvrir la valeur actuelle :

echo $HOME

Cette valeur doit être conforme au répertoire d'origine de la racine, qui se trouve généralement dans le fichier /etc/passwd.

Notez qu'en basculant sur la root, vous pouvez devoir utiliser :

su -

au lieu seulement de su pour conditionner correctement les variables d'environnement de la root.

Message d'informations d'authentification expirées

Si vos informations d'authentification sont arrivées à expiration ou sont incorrectes, vous pouvez recevoir le message suivant lors de l'exécution des commandes bpnbaz ou bpnbat :

Supplied credential is expired or incorrect. Please
reauthenticate and try again.

Exécutez bpnbat -Login pour mettre à jour les informations d'authentification arrivées à expiration.

Journaux de débogage utiles

Les journaux suivants sont utiles pour déboguer le contrôle d'accès NetBackup :

Sur le serveur maître : admin, bpcd, bprd, bpdbm, bpjobd, bpsched

Sur le client : admin, bpcd

Contrôle d'accès : nbatd, nbazd.

Si le serveur maître utilise NetBackup Access Control (NBAC) en mode REQUIS et que la base de données EMM est distante, les informations de consignation s'affichent alors dans le journal bpdbm.

Consultez Guide de dépannage NetBackup pour des instructions sur la consignation appropriée.

Emplacement de stockage des informations d'authentification

Les informations d'authentification de NetBackup Authentication and Authorization sont enregistrées dans les répertoires suivants :

UNIX :

Informations d'authentification de l'utilisateur : $HOME/.vxss

Informations d'authentification de l'ordinateur : /usr/openv/var/vxss/credentials/

Windows :

<user_home_dir>\Application Data\VERITAS\VSS

Effet du temps du système sur le contrôle d'accès

Les informations d'authentification ont une heure d'émission et une heure d'expiration. Les ordinateurs ayant d'importantes anomalies d'horloge affichent des informations d'authentification émises dans le futur ou prématurément expirées. Envisagez de synchroniser le temps si vous avez des difficultés de communication entre les systèmes.

Ports NetBackup Authentication and Authorization

Les services de daemon NetBackup Authentication and Authorization utilisent les ports 13783 et 13722 pour le serveur de médias et les clients de niveau précédent. Les services utilisent les connexions PBX.

Vous pouvez vérifier que les processus écoutent avec les commandes suivantes :

Authentification :

UNIX

netstat -an | grep 13783

Windows

netstat -a -n | find "13783"

Autorisation :

UNIX

netstat -an | grep 13722

Windows

netstat -a -n | find "13722"

Arrêt des daemons NetBackup Authentication and Authorization pour les services partagés

Lors de l'arrêt des services NetBackup Authentication and Authorization, arrêtez d'abord l'autorisation, puis arrêtez l'authentification.

UNIX - Utilisez les commandes suivantes.

Pour arrêter l'autorisation, utilisez le signal de fin comme indiqué dans l'exemple :

   # ps -fed |grep nbazd
     root 17018     1 4 08:47:35 ?     0:01 ./nbazd
     root 17019 16011 0 08:47:39 pts/2 0:00 grep nbazd
    # kill 17018

Pour arrêter l'authentification, utilisez le signal de fin comme indiqué dans l'exemple :

   # ps -fed |grep nbatd
     root 16018     1 4 08:47:35 ?     0:01 ./nbatd
     root 16019 16011 0 08:47:39 pts/2 0:00 grep nbatd
    # kill 16018

Windows

Utilisez l'utilitaire Services fourni par Windows, car ces services n'apparaissent pas dans le moniteur d'activité NetBackup.

Si vous vous verrouillez hors de NetBackup

Vous pouvez vous verrouiller en dehors de la console d'administration NetBackup si le contrôle d'accès n'est pas correctement configuré.

Le cas échéant, utilisez vi pour lire les entrées bp.conf (UNIX) ou regedit (Windows) et afficher le Registre Windows à l'emplacement suivant :

HKEY_LOCAL_MACHINE\SOFTWARE\Veritas\NetBackup\
CurrentVersion\config

Vous pouvez vérifier si les entrées suivantes sont correctement définies : AUTHORIZATION_SERVICE, AUTHENTICATION_DOMAIN et USE_VXSS.

L'administrateur peut ne pas vouloir utiliser le contrôle d'accès NetBackup ou ne pas avoir installé les bibliothèques d'autorisation. Vérifiez que l'entrée USE_VXSS est définie sur Prohibited ou totalement supprimée.

Les sauvegardes des unités de stockage sur des serveurs de médias peuvent ne pas fonctionner dans un environnement de NBAC

Le nom d'hôte d'un système du domaine NetBackup (serveur maître, serveur de médias ou client) et le nom d'hôte spécifié dans le fichier bp.conf devraient être identiques.

Utilisation de l'utilitaire nbac_cron

L'utilitaire nbac_cron.exe permet de créer des identités sous lesquelles exécuter la commande cron ou des travaux.

Pour plus d'informations sur l'utilitaire nbac_cron :

Se reporter à A propos de l'utilitaire nbac_cron.

nbac_cron.exe se trouve à l'emplacement suivant :

UNIX -/opt/openv/netbackup/bin/goodies/nbac_cron

Windows -install_path\netbackup\bin\goodies\nbac_cron.exe

Pour des informations détaillées sur l'utilisation de l'utilitaire nbac_cron :

Se reporter à Utilisation de l'utilitaire nbac_cron.

Activation de NBAC après une récupération sous Windows

La procédure suivante permet d'activer manuellement NBAC après une récupération sous Windows.

Dans les installations en cluster, la commande setupmaster peut échouer

Dans le cas des installations en cluster où le fichier de configuration est sur un disque partagé, le fait que la commande setupmaster peut échouer est un problème connu.

Problème connu lorsque, sur un cluster, les services de sécurité partagés (vxatd ou vxazd) sont mis en cluster avec le serveur maître

Sur un cluster, le fait que les services de sécurité partagés (vxatd ou vxazd) soient mis en cluster avec le serveur maître est un problème connu. En exécutant la commande bpnbaz -SetupMaster et en installant la sécurité (NBAC), gelez les groupes de service partagés des services de sécurité, et ce de manière continue le cas échéant, ou mettez les services hors ligne (mais vérifiez que leur disque partagé est en ligne) et exécutez la commande setupmaster.

Problème connu lorsque, dans une mise à niveau de serveur maître mis en cluster avec NBAC, toutes les entrées AUTHENTICATION_DOMAIN du fichier bp.conf sont mises à jour avec le nom virtuel du serveur maître comme courtier d'authentification

Dans une mise à niveau de serveur maître mis en cluster avec NBAC, le fait que toutes les entrées AUTHENTICATION_DOMAIN du fichier bp.conf soient mises à jour avec le nom virtuel de serveur maître comme courtier d'authentification est un problème connu. Toute entrée de domaine présente se référant à un courtier d'authentification différente autre que le serveur maître (et le serveur maître n'entretenant pas ce domaine) doit être manuellement supprimée du fichier bp.conf.

Problème connu sur les ordinateurs Windows 2003 en pile double

Sur les ordinateurs Windows 2003 à double pile, un problème connu existe. Vous avez besoin du correctif Microsoft kb/928646 disponible sur le site http://support.microsoft.com/.

Problème connu relatif aux échecs de contrôle d'accès et aux noms d'hôte courts et longs

Les échecs liés au contrôle d'accès font partie d'un problème connu. Déterminez si les noms d'hôte courts et longs peuvent se résoudre correctement et renvoient à la même adresse IP.

Problème connu lorsque, dans une mise à niveau de cluster avec NBAC, la commande ClusterName du profil de courtier est définie par le nom virtuel d'AT

Dans une mise à niveau de cluster avec NBAC, le fait que la commande ClusterName du profil de courtier soit définie par le nom virtuel d'AT est un problème connu. La migration s'effectue telle quelle vers le courtier incorporé. Dans le profil du courtier incorporé, UseClusterNameAsBrokerName est défini sur 1. Lorsqu'une demande est envoyée pour des cartes de domaine de courtier, elle utilise le nom virtuel d'AT partagé comme nom de courtier. La commande bpnbaz -GetDomainInfosFromAuthBroker renvoie aucun. Dans la mise à niveau, le fichier bp.conf est mis à jour pour avoir le nom virtuel de NetBackup.

Problème connu lorsque plusieurs instances de bpcd entraînent une possibilité d'erreur

Dans la commande bpnbaz -SetupMedia, le fait que bprd utilise le protocole AT_LOGINMACHINE_RQST pour parler avec bpcd sur la zone de destination est un problème connu. Une nouvelle instance de bpcd est engendrée. Une fois la commande terminée, elle essaie de libérer une baie de char comme pointeur régulier entraînant probablement bpcd à vider la mémoire du côté client. La fonctionnalité ne doit pas être perdue car cette instance bpcd est seulement créée temporairement et se ferme normalement. La commande bpcd parent est inchangée.

Problème connu lorsque les clusters utilisent l'AT partagé avec les fichiers de configuration sur le lecteur partagé

Le fait que des clusters utilisent l'AT partagé avec les fichiers de configuration sur le lecteur partagé est un problème connu. Le décrochage des services partagés fonctionne uniquement sur le nœud où ce lecteur partagé est accessible. Le décrochage échoue sur les nœuds restants. Cela implique que l'exécution de bpnbaz -SetupMaster pour gérer des parties du courtier distant est un échec. Vous devrez configurer manuellement les nœuds passifs. Exécutez bpnbaz -SetupMedia pour chaque nœud passif.

Problème connu relatif aux utilitaires de base de données prenant en charge NBAZDB

Le fait que certains utilitaires de base de données prennent en charge NBAZDB et d'autres non est un problème connu.

Les utilitaires de base de données suivants prennent en charge NBAZDB : nbdb_backup, nbdb_move, nbdb_ping, nbdb_restore et nbdb_admin.

Les utilitaires suivants ne prennent pas en charge NBAZDB : nbdb_unload et dbadm.