Guide de référence des commandes Veritas NetBackup™
- Introduction
- Annexe A. Commandes NetBackup
- acsd
- add_media_server_on_clients
- backupdbtrace
- backuptrace
- bmrc
- bmrconfig
- bmrepadm
- bmrprep
- bmrs
- bmrsrtadm
- bp
- bparchive
- bpbackup
- bpbackupdb
- bpcatarc
- bpcatlist
- bpcatres
- bpcatrm
- bpcd
- bpchangeprimary
- bpclient
- bpclimagelist
- bpclntcmd
- bpclusterutil
- bpcompatd
- bpconfig
- bpdbjobs
- bpdbm
- bpdgclone
- bpdown
- bpduplicate
- bperror
- bpexpdate
- bpfis
- bpflist
- bpgetconfig
- bpgetdebuglog
- bpimage
- bpimagelist
- bpimmedia
- bpimport
- bpinst
- bpkeyfile
- bpkeyutil
- bplabel
- bplist
- bpmedia
- bpmedialist
- bpminlicense
- bpnbat
- bpnbaz
- bppficorr
- bpplcatdrinfo
- bpplclients
- bppldelete
- bpplinclude
- bpplinfo
- bppllist
- bpplsched
- bpplschedrep
- bppolicynew
- bpps
- bprd
- bprecover
- bprestore
- bpretlevel
- bpschedule
- bpschedulerep
- bpsetconfig
- bpstsinfo
- bpstuadd
- bpstudel
- bpstulist
- bpsturep
- bptestbpcd
- bptestnetconn
- bptpcinfo
- bpup
- bpverify
- cat_convert
- Utilitaire cat_export
- Utilitaire cat_import
- configurePorts
- create_nbdb
- csconfig cldinstance
- csconfig cldprovider
- csconfig meter
- csconfig throttle
- duplicatetrace
- importtrace
- jbpSA
- jnbSA
- ltid
- manageClientCerts
- mklogdir
- nbauditreport
- nbcatsync
- NBCC
- NBCCR
- nbcertcmd
- nbcertupdater
- nbcldutil
- nbcomponentupdate
- Commande nbcplogs
- nbdb_admin
- nbdb_backup
- nbdb_move
- nbdb_ping
- nbdb_restore
- nbdb_unload
- nbdbms_start_server
- nbdbms_start_stop
- nbdc
- nbdecommission
- nbdelete
- nbdeployutil
- nbdevconfig
- nbdevquery
- nbdiscover
- nbdna
- nbemm
- nbemmcmd
- nbexecute
- nbfindfile
- nbfirescan
- nbftadm
- nbftconfig
- Commande nbgetconfig
- nbhba
- nbholdutil
- nbhostidentity
- nbhostmgmt
- nbhypervtool
- nbjm
- nbkmsutil
- Commande nboraadm
- nborair
- nbpem
- nbpemreq
- nbperfchk
- nbplupgrade
- nbrb
- Commande nbrbutil
- nbregopsc
- nbreplicate
- nbrestorevm
- nbseccmd
- nbsetconfig
- Commande nbsnapimport
- Commande nbsnapreplicate
- nbsqladm
- nbstl
- nbstlutil
- nbstop
- nbsu
- nbsvrgrp
- resilient_clients
- restoretrace
- Commande stopltid
- tl4d
- tl8d
- tl8cd
- tldd
- tldcd
- tlhd
- tlhcd
- tlmd
- tpautoconf
- tpclean
- tpconfig
- tpext
- tpreq
- tpunmount
- verifytrace
- vltadm
- vltcontainers
- vlteject
- vltinject
- vltoffsitemedia
- vltopmenu
- vltrun
- vmadd
- vmchange
- vmcheckxxx
- vmd
- vmdelete
- vmoprcmd
- vmphyinv
- vmpool
- vmquery
- vmrule
- vmupdate
- vnetd
- vxlogcfg
- vxlogmgr
- vxlogview
- W2KOption
Nom
bpinst — configurer le chiffrement NetBackup hérité
Synopsis
-LEGACY_CRYPT [-crypt_option option] [-crypt_strength force] [-passphrase_prompt |-passphrase_stdin] [-verbose] [ [-policy_encrypt 0 | 1] -policy_names] nom1 [nom2 ... nomN]
Sur les systèmes UNIX, le chemin d'accès à cette commande est /usr/openv/netbackup/bin/.
Sur les systèmes Windows, le chemin de répertoire vers cette commande est install_path\NetBackup\bin\
DESCRIPTION
Le chiffrement NetBackup permet un chiffrement des sauvegardes et des archives au niveau du fichier.
-LEGACY_CRYPT est la méthode de chiffrement héritée. Elle fournit à l'utilisateur le choix des puissances de chiffrement disponibles précédemment (DES de 40 et de 56 bits).
La commande bpinst utilisée avec l'option -LEGACY_CRYPT configure le produit de chiffrement NetBackup hérité des clients NetBackup pouvant prendre en charge le chiffrement. Vous pouvez également configurer le chiffrement pour un client installé sur l'hôte de serveur maître.
Activez bpinst -LEGACY_CRYPT sur le serveur maître pour configurer le chiffrement NetBackup des clients. Une activation unique apporte les changements de configuration nécessaires aux clients et au serveur maître.
Remarque :
Assurez-vous que l'option de NetBackup de DISALLOW_SERVER_FILE_WRITES n'est pas définie sur le client. Si cette option est définie, le serveur ne peut pas configurer le logiciel sur le client.
OPTIONS
- -LEGACY_CRYPT
Requis si vous utilisez le chiffrement DES 40 ou 56 bits. Pour configurer le chiffrement DES, spécifiez cette option d'abord pour utiliser la commande de bpinst. L'ordre est important ; n'omettez pas cette option.
- -crypt_option option
Configure l'entrée de configuration de CRYPT_OPTION sur les clients NetBackup. Si vous ne spécifiez pas -crypt_option, le client permet les sauvegardes chiffrées ou non (voir ALLOWED).
Les valeurs possibles d'option sont les suivantes :
DENIED | denied | -1
Indique que le client n'autorise pas les sauvegardes chiffrées. Si le serveur demande une sauvegarde chiffrée, cette demande est considérée comme une erreur. Cette option est utilisée par défaut pour les clients dont le chiffrement n'est pas configuré.
ALLOWED | allowed | 0
Indique que le client autorise les sauvegardes chiffrées et non chiffrées. ALLOWED est la condition par défaut.
REQUIRED | required | 1
Indique que le client exige des sauvegardes chiffrées. Si le serveur demande une sauvegarde non chiffrée, cette demande est considérée comme une erreur.
- -crypt_strength force
Configure l'entrée de configuration de CRYPT_STRENGTH sur les clients NetBackup. Si vous ne spécifiez pas cette option, les entrées de configuration de CRYPT_STRENGTH sur les clients demeurent inchangées.
Valeurs possibles de strength :
DES_40 | des_40 | 40
Spécifie le chiffrement DES 40 bits. Correspond à la valeur par défaut pour un client qui n'est pas configuré pour le chiffrement.
DES_56 | des_56 | 56
Spécifie le chiffrement DES 56 bits.
- -passphrase_prompt | -passphrase_stdin
Remarque :
N'oubliez pas la phrase de passe. Si le fichier de clés est endommagé ou perdu, vous pouvez avoir besoin de la phrase de passe pour régénérer le fichier de clés. Sans fichier de clés approprié, vous ne pouvez pas restaurer les sauvegardes chiffrées.
NetBackup utilise une phrase de passe pour créer les données qu'il place dans un fichier de clés sur chaque client. NetBackup utilise alors les données dans le fichier de clés pour créer les clés de chiffrement qui sont requises pour chiffrer et déchiffrer les données de sauvegarde. Cette option s'applique uniquement à l'option -LEGACY_CRYPT.
L'option -passphrase_prompt vous invite à entrer une phrase de passe. La phrase de passe actuelle est masquée pendant que vous la saisissez.
L'option -passphrase_stdin lit la phrase de passe par l'entrée standard. Vous devez entrer la phrase de passe deux fois. Cette option est moins sécurisé que l'option -passphrase_prompt car la phrase de passe n'est pas masquée. Cependant, elle peut être plus commode si vous utilisez bpinst -LEGACY_CRYPT dans un script de shell.
NetBackup utilise la phrase de passe pour tous les clients que vous spécifiez dans la commande bpinst -LEGACY_CRYPT. Si vous voulez des phrases de passe distinctes pour chaque client, entrez une commande distincte bpinst -LEGACY_CRYPT pour chaque client.
Quand vous spécifiez une phrase de passe, bpinst -LEGACY_CRYPT crée ou met les fichiers de clés sur les clients. Les clés de chiffrement (générées à partir de la phrase de passe) sont utilisées pour les sauvegardes ultérieures. De vieilles clés de chiffrement sont maintenues dans le fichier de clés pour permettre la restauration de sauvegardes précédentes.
Si vous ne spécifiez pas l'option -passphrase_prompt ou -passphrase_stdin, les fichiers de clés sur les clients demeurent inchangés.
- -verbose
Imprime la configuration actuelle de chiffrement de chaque client et ce qui est installé et modifié sur chaque client.
- -policy_encrypt 0 | 1
Définit l'attribut de politique de chiffrement pour les politiques de NetBackup. Vous pouvez inclure -policy_encrypt uniquement avec l'option -policy_names. Les valeurs possibles sont les suivantes :
0 - vide l'attribut de chiffrement (ou le laisse vide) pour que le serveur ne demande pas le chiffrement des clients dans cette politique. Ce paramètre est le paramètre par défaut pour les politiques qui ne sont pas configurées pour le chiffrement.
1 - définit l'attribut de chiffrement pour que le serveur demande le chiffrement des clients dans cette politique.
Si vous ne spécifiez pas cette option, les attributs de chiffrement pour les politiques demeurent inchangés.
- -policy_names
Spécifie que les noms que vous spécifiez (avec l'option de noms) sont des noms de politique NetBackup.
Si vous incluez l'option -policy_names, bpinst -LEGACY_CRYPT configure tous les clients dans chaque politique spécifiée. Si vous omettez l'option -policy_names, les noms de client NetBackup sont utilisés par défaut.
- name1 [name2 …. nameN]
Spécifie un ou plusieurs noms de client ou de politiques NetBackup, si vous avez inclus l'option -policy_names. Si vous omettez l'option -policy_names, les noms de client NetBackup sont utilisés par défaut.
REMARQUES
Les remarques suivantes s'appliquent à l'option -LEGACY_CRYPT :
Si vous exécutez NetBackup dans un environnement en cluster, vous pouvez passer des données de configuration au client à partir du nœud actif uniquement.
Si vous passez la configuration aux clients qui se trouvent dans un cluster, procédez comme suit : Spécifiez les noms d'hôte des différents nœuds (noms non virtuels) dans la liste de clients.
Quand vous terminez la restauration des fichiers chiffrés d'un client, renommez ou supprimez le fichier de clés créé. Déplacer ou renomment votre propre fichier de clés à son emplacement ou nom initial. Si vous ne rétablissez pas l'emplacement et le nom initial de votre fichier de clés, vous pouvez ne pas être à même de restaurer vos propres sauvegardes chiffrées.
Les clés de licence de chiffrement de 40 ou 56 bits sont valides pour les mises à niveau.
Une clé DES de 40 bits NetBackup définie en privé la phrase de passe que bpinst -LEGACY_CRYPT envoie sur le réseau.
Le fichier de clés sur chaque client NetBackup est chiffré avec une clé DES NetBackup définie comme privée. La clé peut être de 40 ou de 56 bits selon la manière dont le client est configuré. Restreignez l'accès au fichier de clés à l'administrateur de l'ordinateur client. Sur le client UNIX, le propriétaire du fichier de clés devrait être la racine et les bits de mode devraient être 600. Le fichier de clés ne devrait pas être exportable par le biais du NFS.
Le fichier de clé doit être le même sur tous les nœuds d'un cluster.
Souvenez-vous les phrases de passe. Dans une situation de reprise après incident, il vous faudra peut-être recréer un fichier de clés sur un client à l'aide de bpinst -LEGACY_CRYPT. Par exemple, supposez qu'un client NetBackup nommé orca effectue les sauvegardes chiffrées et qu'un accident se produise entraînant la perte des fichiers orca. Dans ce cas vous devez réinstaller et configurer le chiffrement sur le client pour restaurer vos sauvegardes.
Pour plus d'informations sur la restauration du système d'exploitation et de NetBackup, consultez le Guide de dépannage NetBackup.
Pour une reprise après incident quand vous utilisez le chiffrement (l'orbite nommé par le client)
- Réinstallez le système d'exploitation sur orbit.
- Réinstallez et configurez le logiciel de client NetBackup sur orbit.
- Réinstallez et configurez le chiffrement en orbite à l'aide de la commande suivante :
# bpinst -LEGACY_CRYPT -crypt_option allowed
- Activez bpinst -LEGACY_CRYPT pour créer une phrase de passe à l'aide de la commande suivante :
# bpinst -LEGACY_CRYPT -passphrase_prompt orbit Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
Entrez la phrase de passe qui est utilisée sur orca.
- Activez bpinst -LEGACY_CRYPT pour chaque phrase de passe ultérieure utilisée sur orbit en entrant ce qui suit :
# bpinst -LEGACY_CRYPT -passphrase_prompt orbit Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
- Restaurez les fichiers sauvegardés sur orbit.
EXEMPLES
Exemple 1 - Configuration tout sur une ligne du chiffrement DES 40 bits sur des clients UNIX dans une politique nommé policy40 :
# bpinst -LEGACY_CRYPT -crypt_option allowed -crypt_strength des_40 -policy_encrypt 1 -policy_names policy40
Utilisez l'option -policy_encrypt pour définir l'attribut de chiffrement pour la politique. Vous pouvez également utiliser l'utilitaire d'administrateur NetBackup pour définir l'attribut de chiffrement.
Exemple 2 - Utilisation de l'option -passphrase_prompt pour créer une phrase de passe sur tous les clients dans une politique nommée policy40 :
# bpinst -LEGACY_CRYPT -passphrase_prompt -policy_names policy40 Enter new NetBackup pass phrase: ********************* Re-enter new NetBackup pass phrase: *********************
Exemple 3 - Spécification tout sur une ligne que le client NetBackup nommé strong doit utiliser le chiffrement DES 56 bits :
# bpinst -LEGACY_CRYPT -crypt_option required -crypt_strength des_56 strong
Exemple 4 - Affichage d'une liste détaillée de la configuration pour le client nommé strong :
# bpinst -LEGACY_CRYPT -verbose strong BPCD protocol version 8.0.0 on client strong 40-bit library version is 3.1.0.40 on client strong 56-bit library version is 3.1.0.56 on client strong BPCD platform is redhat for client strong Current configuration entries are: CRYPT_KEYFILE = /usr/openv/netbackup/keyfile CRYPT_LIBPATH = /usr/openv/lib CRYPT_OPTION = required CRYPT_STRENGTH = des-56 V_PATH_SHARE = /usr/openv/share No update of NetBackup configuration required for client strong No update of NetBackup pass phrase required for client strong
FICHIERS
Les fichiers suivants sont utilisés sur les systèmes UNIX°:
Commande du serveur UNIX
/usr/openv/netbackup/bin/bpinst
Bibliothèques de chiffrement du client UNIX pour les DES de 56 et 40 bits
/usr/openv/lib/libvdes*.*
Fichier de clé de chiffrement client UNIX pour les DES de 56 et 40 bits
/usr/openv/netbackup/keyfile
Utilitaire de fichier de clé de chiffrement de Client UNIX pour le DES de 56 et 40 bits
/usr/openv/netbackup/bin/bpkeyfile
Utilitaire de fichier de clé de chiffrement de Client UNIX pour le chiffre d'OpenSSL de 128 bits et le chiffre d'OpenSSL de 256 bits
/usr/openv/netbackup/bin/bpkeyutil /usr/openv/share/ciphers.txt
Les fichiers suivants sont utilisés sur des systèmes Windows :
Commande de serveur Windows
install_path\NetBackup\bin\bpinst.exe
Fichier de clé de chiffrement client Windows
install_path\NetBackup\var\keyfile.dat
Bibliothèque de chiffrement client Windows
install_path\bin\libvdes*.dll
Utilitaire de fichier de clé de chiffrement client Windows
install_path\bin\bpkeyfile.exe install_path\share\ciphers.txt