NetBackup ™ セキュリティおよび暗号化ガイド
- NetBackup での安全な通信 (最初にお読みください)
- 通信エラーのシナリオ
- NetBackup セキュリティの強化
- セキュリティの配置モデル
- NetBackup 操作の監査
- 第 I 部 個人情報とアクセスの管理
- 個人情報とアクセスの管理について
- AD ドメインと LDAP ドメイン
- アクセスキー
- API キー
- auth.conf ファイル
- 役割に基づくアクセス制御
- スマートカードまたはデジタル証明書
- シングルサインオン (SSO)
- 拡張監査
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の構成
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 第 II 部 移動中のデータの暗号化
- NetBackup CA および NetBackup 証明書
- セキュリティ管理ユーティリティについて
- ホスト管理について
- 共有マッピングとクラスタマッピングの追加
- 証明書の自動再発行の許可または禁止
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- NetBackup 証明書の配備のセキュリティレベルについて
- マスターサーバー (CA) との信頼の設定
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- クラスタ化されたセットアップでのホスト ID ベースの証明書配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- NetBackup CA の移行
- 移動中のデータの暗号化 (DTE) の構成
- 外部 CA と外部証明書
- NetBackup での外部 CA のサポートについて
- 外部 CA が署名した証明書の構成オプション
- NetBackup サーバーとクライアントの ECA_CERT_PATH
- 外部 CA の証明書失効リストについて
- 証明書の登録について
- NetBackup Web サーバーで外部証明書を使用するための構成
- クラスタマスターサーバー用の外部証明書の構成について
- キーと証明書の再生成
- NetBackup CA および NetBackup 証明書
- 第 III 部 格納データの暗号化
- 格納データの暗号化セキュリティ
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- NetBackup Key Management Service
- FIPS 対応 KMS について
- KMS のインストール
- KMS の構成
- キーグループとキーレコードについて
- キーレコードの状態の概要
- KMS と連携するための NetBackup の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- 外部のキーマネージメントサービス
- 格納データの暗号化セキュリティ
- NetBackup での FIPS 準拠
- NetBackup Web サービスアカウント
- 特権のないユーザー (サービスユーザー) アカウントでの NetBackup サービスの実行
- NetBackup でのデータの変更不可と削除不可
- バックアップの異常の検出
- マルウェアの検出
- マルウェアの検出について
認証トークンの作成
証明書の配備のセキュリティ設定に応じて、NetBackup ホストは、認証局 (マスターサーバー) からホスト ID ベースの証明書を取得するために認証トークンを必要とする場合があります。
再発行トークンの作成を参照してください。
セキュリティ設定が[最高 (Very High)]の場合、すべての証明書要求でトークンが必要になります。この項で説明している手順を実行します。
セキュリティ設定が[高 (High)]の場合、マスターサーバーにとって既知であるホストに対して証明書が自動的に配備されます。ホストがマスターサーバーに認識されていない場合は、認証トークンを使用して証明書を配備する必要があります。この場合、この項で説明している手順を実行します。
マスターサーバーにとって既知の意味については、次の項を参照してください。
NetBackup 証明書の配備のセキュリティレベルについてを参照してください。
セキュリティ設定が[中 (Medium)]の場合、証明書を必要とするすべてのホストに証明書が自動的に配備されるので、この手順は通常必要ありません。ただし、マスターサーバーは証明書を要求しているホストの IP とホスト名を相互検証できる必要があります。
メモ:
マスターサーバーとの接続性がないホストに代わり証明書を要求するには、トークンが必要です。
マスターサーバーと接続されていないクライアントでの証明書の配備を参照してください。
メモ:
証明書が紛失、破損、または期限切れのため現時点で有効でない状態の証明書を持つ NetBackup ホストの認証トークンの作成には、この手順を使用しないでください。このような場合は、再発行トークンを使う必要があります。
ホスト ID ベースの証明書の再発行についてを参照してください。
マスターサーバーの NetBackup 管理者は、NetBackup 管理コンソールまたはコマンドラインを使ってトークンを作成できます。
NetBackup 管理コンソールを使ってトークンを作成するには
- NetBackup 管理コンソールで、[セキュリティ管理 (Security Management)]、[証明書管理 (Certificate Management)]、[トークン管理 (Token Management)]の順に展開します。
- [処理 (Actions)]メニューで[新規トークン (New Token)]を選択します。
[トークンの作成 (Create Token)]ダイアログボックスが表示されます。
- 分かりやすい一意の名前をトークンに付けて入力します。このフィールドは空白にできません。
たとえば、master_server_1 に属する複数のホストの証明書を要求するトークンを作成し、Token1_MS1 という名前を付けます。[理由 (Reason)]フィールドにトークンに関する説明を入力すると役に立ちます。
- トークンの使用可能回数として、[最大許可使用期間 (Maximum Uses Allowed)]オプションに数を入力します。デフォルトは 1 です。1 つのホストがトークンを 1 回のみ使うことができることを示しています。
複数のホストで同一のトークンを使うには、1 から 99999 までの数値を入力します。たとえば、8 つのホストのトークンを使用するには、8 を入力します。9 つ目のホストがこのトークンを使用しようとしても成功しません。
- [次で有効 (Valid for)]オプションを使って、無効になり使えなくなるまでのトークン使用可能期間を指定します。[次で有効 (Valid for)] 日付以後は、マスターサーバーで別のトークンを生成する必要があります。
1 から 999 時間または 1 から 999 日間で期間を選択します。
- トークンを作成する理由を入力することもできます。この理由は、このダイアログのその他のエントリと共に監査ログに表示されます。
- [作成 (Create)]を選択します。
- 新しいトークンがダイアログに表示されます。[コピー (Copy)]を選択して、トークンの値をクリップボードに保存します。
- マスターホスト以外のホストの管理者にトークンの値を伝えます。トークンの伝達方法は、環境のさまざまなセキュリティ要因によって異なります。トークンは、電子メール、ファイル、または口頭で伝えられます。
- マスター以外のホストの管理者は、トークンを使用して認証局からホスト ID ベース証明書を取得します。指示については次の手順を参照してください。
ホスト ID ベースの証明書の配備を参照してください。
nbcertcmd コマンドを使ってトークンを作成するには
- ホストで次のコマンドを実行します。
nbcertcmd -createToken -name token_name
次に例を示します。
nbcertcmd -createToken -name testtoken
Token FCBVYUTDUIELUDOE created successfully.
追加のパラメータを使って、最大使用数、有効期間、作成の理由を指定できます。
nbcertcmd コマンドについて詳しくは、『NetBackup コマンドリファレンスガイド』を参照してください。