NetBackup IT Analytics システム管理者ガイド
- はじめに
- 更新の準備
- データのバックアップとリストア
- NetBackup IT Analytics の監視
- REST API を使用した NetBackup IT Analytics レポートへのアクセス
- NetBackup の推定テープ容量の定義
- ホストグループ管理の自動化
- ホストグループ管理の自動化に関する情報
- タスクの概要: ホストグループの一括管理
- PL/SQL ユーティリティを使用するための準備
- 一般的なユーティリティ
- ホストオペレーティングシステムのプラットフォームとバージョン別のカテゴリ化
- ホストグループ ID の識別
- クライアントの移動またはコピー
- 属性別のクライアントの編成
- ホストグループの移動
- ホストグループの削除
- ホストの移動とホストグループの削除
- クライアントのバックアップサーバー別グループへの編成
- 重複したバックアップクライアントのマージ
- 一括ロードユーティリティ
- Veritas NetBackup ユーティリティ
- NetBackup ユーティリティの自動化
- クライアントの管理サーバー別グループへの編成
- 非アクティブなクライアントグループの設定
- 非アクティブなポリシーでのクライアント用のホストグループの設定
- ポリシー別のクライアントの設定
- ポリシーの種類別のクライアントの設定
- IBM Tivoli Storage Manager ユーティリティ
- ポリシードメイン別のクライアントの設定
- IBM Tivoli Storage Manager インスタンス別のクライアントの設定
- ユーティリティを自動的に実行するためのスケジュール設定
- 属性管理
- 汎用バックアップデータのインポート
- バックアップジョブの上書き
- ホストデータ収集の管理
- ポータルのシステム構成
- パフォーマンスプロファイルスケジュールのカスタマイズ
- ポータルアクセス用の LDAP および SSO 認証
- Oracle Database のユーザーパスワードの変更
- CyberArk との統合
- NetBackup IT Analytics のチューニング
- ログファイルの操作
- NetBackup IT Analytics のデバッグについて
- デバッグの有効化
- データベースのログ記録
- ポータルとデータコレクタのログファイル: ログ記録の削減
- データベース SCON ログ: ログの削減
- データベース SCON ログの更新
- audit.log へのユーザー活動のログ記録
- ユーザーの削除対象のみのログ記録
- すべてのユーザー活動のログ記録
- データコレクタのログファイル
- データコレクタのログファイルの編成
- Data Collector のログファイルの命名規則
- 一般的なデータコレクタのログファイル
- イベントまたはメタコレクタ ID の検索
- ポータルのログファイル
- データベースログファイル
- インストールまたはアップグレードログファイル
- レポートメトリックの定義
- SNMP トラップアラート
- SSL 証明書の構成
- SSL 証明書の構成
- SSL 実装の概要
- SSL 証明書の取得
- SSL を有効にするための Web サーバー構成の更新
- ポータルまたはデータ収集 SSL のための仮想ホストの構成
- Data Collector の SSL の有効化または無効化
- 電子メールで送信されたレポートの SSL の有効化または無効化
- SSL 構成のテストとトラブルシューティング
- 自己署名 SSL 証明書の作成
- 証明書を信頼するためのデータコレクタの構成
- Data Collector サーバー上のキーストアファイルの場所
- 証明書の Data Collector Java キーストアへのインポート
- ポータルサーバーのキーストア
- Linux サーバーへの仮想インターフェースの追加
- Windows での仮想またはセカンダリ IP アドレスの追加
- ポータルプロパティ: 形式とポータルのカスタマイズ
- SDK データベースオブジェクトのデータ保持期間
- SDK データベースオブジェクトのデータ保持期間
- データの集計
- ドメイン ID とデータベーステーブル名の検索
- SDK ユーザー定義オブジェクトの保持期間の更新の例
- SDK ユーザー定義データベースオブジェクト
- 容量: 基本データベーステーブルのデフォルトの保持期間
- 容量: EMC Symmetrix 拡張パフォーマンスのデフォルトの保持期間
- 容量: EMC XtremIO のデフォルトの保持期間
- 容量: Dell EMC ECS (エラスティッククラウドストレージ) のデフォルトの保持期間
- 容量: Windows ファイルサーバーのデフォルトの保持期間
- 容量: Pure Storage FlashArray のデフォルトの保持期間
- クラウド: AWS (アマゾンウェブサービス) のデフォルトの保持期間
- クラウド: Microsoft Azure のデフォルトの保持期間
- クラウド: OpenStack Ceilometer のデフォルトの保持期間
- マルチテナントデータのパージ保持期間の構成
- トラブルシューティング
- 付録 A. Oracle での Kerberos ベースのプロキシユーザーの認証
- 付録 B. NetBackup IT Analytics ポータルとデータレシーバでの TLS 対応 Oracle データベースの構成
- TLS (トランスポート層セキュリティ) の概要
- Oracle 環境での TLS
- 分割アーキテクチャの Linux における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 非分割アーキテクチャの Linux における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 分割アーキテクチャの Windows における NetBackup IT Analytics を使用した Oracle での TLS の構成
- 非分割アーキテクチャの Windows における NetBackup IT Analytics を使用した Oracle での TLS の構成
- ユーザー環境での TLS の構成
- 付録 C. Kubernetes およびアプライアンス上の NetBackup 向けの NetBackup IT Analytics
認証用 AD/LDAP の構成
ユーザー認証にのみ AD/LDAP を構成するには、ポータル管理者は AD/LDAP データベースに存在するユーザーと同様に NetBackup IT Analytics ポータルでユーザーを作成する必要があります。
- スーパーユーザーとして NetBackup IT Analytics ポータルにログインし、[管理 (Admin)]、[ユーザー (Users)]の順に移動します。
- AD/LDAP に存在するユーザーと同じユーザー名を持つ新しいユーザーを作成します。
- 新しいユーザーに適切な権限を割り当てます。
- ポータルサーバーが AD/LDAP のホスト名を解決できない場合は、ポータルサーバーの
/etc/hostsファイルにホスト名のエントリを追加します。<AD_IP_Address> <AD_Domain_Name>
例:
192.168.2.90 ad.gold
- [管理 (Admin)]、[認証 (Authentication)]、[LDAP]の順に移動します。
- 認証、認可を有効にし、次の表に示すように構成を入力します。
フィールド名
説明
有効 (Enabled)
AD/LDAP 認証を有効にする場合に選択します。
認証 (Authorisation)
認証 (Authentication) のみを有効にするため、この有効化はスキップできます。
選択すると、ポータルは AD グループに対してユーザーを認可します。新しいユーザーが属する少なくとも 1 つの AD グループを、ポータルでユーザーグループとして構成する必要があります。
メモ:
AD グループがポータルのユーザーグループにマッピングされていない場合、ログイン中に「外部 LDAP ユーザーにはユーザーグループマッピングが存在しません (No user group mapping present for external LDAP user)」というエラーが表示され、認証が失敗します。
LDAP ドメイン名 (LDAP Domain Name)
このフィールドは非推奨です。このフィールドがポータルに表示されている場合は、値として LDAP と入力します。
例:
LDAP Domain Name: LDAP
LDAP URL
AD のホストとポートを設定します。この URL 値には接頭辞 ldap: が付くことに注意してください。SSL を使用している場合は、接頭辞を ldaps に変更します。
外部 LDAP 構成に Active Directory を使用している場合は、ポート 389 の代わりにグローバルカタログポート 3268 を使用できます。
SSL を使用している場合は、標準の ldaps にセキュアグローバルカタログポート 3269 または 636 を使用できます。
例:
ldap://example.company.com:389
または
ldaps://example.company.com:636
検索ベース (Search Base)
認証ディレクトリ内のユーザーを見つけるために検索を実行する場所を設定します。
Active Directory (AD) 検索ベースと呼ばれることがよくあります。LDAP ユーザーを検索する場合、これは Active Directory ツリーの開始点になります。この検索ベース (LDAP 識別名形式) には、完全修飾ドメイン名が含まれています。NetBackup IT Analytics は、検索ベースを 1 つだけサポートします。
例:
dc=example,dc=company,dc=com
DN
検索ベースを検索する権限を持つユーザーまたはサービスアカウントの ID を設定します。このユーザーまたはサービスアカウントはすべての LDAP ディレクトリサーバーを検索できる必要があります。
NetBackup IT Analytics には、Active Directory 構造内のベース DN (識別名) で検索する権限を持つユーザーまたはサービスアカウント名が必要です。これは、管理者権限を持つアカウントである必要があり、通常は管理者です。このアカウントは、Active Directory がインストールされたときに作成された管理者アカウントか、作成時に管理者権限を付与されたアカウントまたは管理者権限を持つグループに配置されたアカウントのいずれかにできます。
Active Directory を使用している場合、Active Directory サービスで匿名バインドが許可されていないため、この設定を指定します。Microsoft Active Directory には、LDAP ディレクトリを検索するための十分な権限を持つユーザーのユーザー名とパスワードが必要です。
CN=Admin,CN=Users,DC=example,DC=company,DC=com
この場合、一般名 Users の Admin ユーザーには、検索ベース (DC=example、DC=company、DC=com) を検索する権限があります。
メモ:
特殊文字 #、>、<、;、(、) および = はサポートされますが、/ および \ は DN と CN ではサポートされません。
DN パスワード (DN Password)
DN フィールドで使用しているユーザーのパスワードに設定します。
証明書 (Certificate)
LDAP が SSL を使用して構成されている場合は、LDAP サーバーとの安全な接続のために LDAP サーバー証明書が必要です。LDAP 管理者または Active Directory 管理者からこの証明書を入手してアップロードできます。
メモ:
証明書チェーンがある場合は、このチェーンから LDAP サーバー証明書を分離し、1 つの証明書として個別にアップロードする必要があります。また、証明書には BEGIN CERTIFICATE や END CERTIFICATE などのプレーンテキストのアンカー行が含まれていることが想定されています。
ログイン属性 (Login Attribute)
認証に使用されるログイン属性を入力します。これは、uid や sAMAccountName などの、ユーザー名を指定する Active Directory の属性名です。
例:
sAMAccountName
新しいユーザードメイン (New User Domain)
ユーザーの認可を行う必要があるドメインの名前を入力します。[管理者 (Admin)]>[ドメイン (Domains)]>[ドメイン名 (Domain Name)]からドメイン名を取得します。
例:
example.company.com
ユーザー属性名の無効化 (Disable User Attribute Name)
ユーザーがアクティブか非アクティブかを示す AD 属性の値を入力します。AD を介したポータル認証中、REST API はこのフィールドに割り当てられている AD 属性を使用して、ユーザーがまだアクティブな AD ユーザーであるかどうかを確認します。
たとえば、ユーザーがアクティブか無効かを示す AD 属性が
ad.user.activeの場合、このフィールドの値としてad.user.activeを割り当てる必要があります。ユーザー属性値の無効化 (Disable User Attribute Value)
AD 属性 ([ユーザー属性名の無効化 (Disable User Attribute Name)] で指定) と同じ値を入力します。これは、AD ユーザーが無効なことを示します。
たとえば、
ad.user.activeが AD のユーザー状態の属性である場合、live、inactive、joinedなどの複数の値を持つ場合があります。AD でユーザーが無効であることを値inactiveで示す場合、このプロパティの値として inactive を設定する必要があります (inactive)。REST API は、この値と、このフィールドで指定された AD 属性の値を一致させます。値が一致すると、ユーザーは NetBackup IT Analytics ポータルで無効になります。
メモ:
ポータルのスーパーユーザーは、過去に AD とポータルの両方で非アクティブ化して、AD でのみ再びアクティブ化したユーザーを、明示的にアクティブ化する必要があります。適切な権限を持つポータル管理者も、このようなユーザーをアクティブ化できます。ユーザーをアクティブ化しない場合、ポータルへのアクセスは制限されます。
- [テスト接続 (Test Connection)]をクリックします。テストが失敗した場合は、必要な変更を行います。
- [保存 (Save)]をクリックします。
LDAP 認証の有効化が完了しました。
メモ:
構成を保存できない場合は、最後のアップグレードの前に JDK トラストストアパスワードが変更されているかどうかを確認し、更新されたパスワードがポータルの[管理者 (Admin)]、[システム設定 (System Configuration)]、[カスタム (Custom)]ページで
portal.jdk.trustStore.passwordパラメータに割り当てられていることを確認します。Windows と Linux の JDK トラストストアの場所は、それぞれ<portal_installation_path>\jdk\lib\security\cacertsと/usr/java/lib/security/cacertsです。 - 既存のスーパーユーザー LDAP_ID を AD ユーザー名にマッピングするように変更するには、Oracle データベースサーバー上の既存のレコードを更新します。
たとえば、ログイン属性が user_name、実際の値が Admin である場合、以下のように既存のレコードを更新します。
# sqlplus portal/<portal_password>@scdb # UPDATE ptl_user SET ldap_id = 'Admin' WHERE user_id = 100000; # commit;
この更新されたユーザー名を使用して、aptare の代わりに外部ディレクトリにログインします。ユーザーアカウント aptare (user_id=100) は内部ブートストラップユーザーであるため、データベーステーブル間の参照整合性を維持するために必要です。したがって、外部 LDAP 統合に aptare を使用することは避ける必要があります。
メモ:
user_id = 100000 は、常にスーパーユーザーアカウントのデフォルトの user_id です。
- AD/LDAP と NetBackup IT Analytics ポータル間で共通のユーザー名を使用して、ポータルにログインします。
ポータルが下位バージョンからアップグレードされた場合、認証タイプと SSO オプションをログイン画面に表示するためにブラウザキャッシュの消去が必要な場合があります。