NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- RBAC 功能
- RBAC 设置
- 禁用操作系统 (OS) 管理员的 Web UI 访问权限
- 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
- 配置 RBAC
- 添加 AD 或 LDAP 域
- 默认 RBAC 角色
- 管理员
- 默认云管理员
- 默认 NetBackup 命令行 (CLI) 管理员
- 默认 Kubernetes 管理员
- 默认 NetBackup Kubernetes Operator 服务
- 默认 Oracle 管理员
- 默认 Microsoft SQL Server 管理员
- 默认 Resiliency 管理员
- 默认 RHV 管理员
- 默认 SaaS 管理员
- 默认 AHV 管理员
- 默认安全管理员
- 默认存储管理员
- 默认通用共享管理员
- 默认 VMware 管理员
- 添加自定义 RBAC 角色
- 编辑或删除自定义角色
- 查看 RBAC 中的用户
- 将用户添加到角色(非 SAML)
- 将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
- 将用户添加到角色 (SAML)
- 从角色中删除用户
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
授权文件 (auth.conf) 的特征
默认情况下,授权文件或 auth.conf 文件授予对“NetBackup 管理控制台”中以下功能的访问权限:
|
在 NetBackup 服务器上 |
为 root 用户提供管理员应用程序和功能。为所有其他用户提供用户备份和还原功能。 |
|
在 NetBackup 客户端上 |
为所有用户提供用户备份和还原功能。 |
Auth.conf 文件位置|
Windows NetBackup 服务器 |
使用此模板文件在相同的位置创建 |
|
UNIX NetBackup 服务器 |
包含以下条目: root ADMIN=ALL JBP=ALL * ADMIN=JBP JBP=ENDUSER+BU+ARC |
按如下所示配置 auth.conf 文件:
如果 auth.conf 文件存在,它必须包含一个条目。为每个用户提供一个条目,或使用星号 (*) 表示所有用户。如果文件中不包含条目,则用户无法访问任何 NetBackup 应用程序。
必须先列出特定用户对应的条目,然后列出任何带星号 (*) 的条目。
使用每个条目的第一个字段表示授予或拒绝访问权限的用户名。使用星号表示任何用户名。
其余字段指定一个或多个用户的特定访问权限。无法使用星号 (*) 为所有用户授予所有应用程序的访问权限。每个用户(或所有用户)必须具有特定的应用程序关键字。要拒绝特定用户的所有功能,则不要为该接口提供任何关键字。例如:
mydomain\ray ADMIN= JBP=
NetBackup 现支持在
auth.conf文件中指定需要访问某些 UI 功能的用户组。<GRP> 标记用于在
auth.conf文件中指定用户组。例如:<GRP> domain1\BackupAdmins ADMIN=SUM JBP=BU
在此示例中,domain1 是 NetBackup 域,BackupAdmins 是用户组。BackupAdmins 用户组中的所有用户都可以访问存储单元管理 (SUM) UI 节点,并且可以执行备份 (BU) 任务。
在登录屏幕中输入的凭据必须在主机字段中指定的计算机上有效。NetBackup 应用程序服务器使用指定的计算机进行身份验证。用户名是用于备份、存档或还原文件的帐户。要使用 jbpSA 执行远程管理或用户操作,用户必须在 NetBackup UNIX 服务器或客户端上拥有有效的帐户。“备份、存档和还原”应用程序 (jbpSA) 依赖于何时浏览要备份或还原的目录和文件的系统文件权限。
密码必须与登录这台计算机时所用的密码相同。例如,假定您使用以下信息登录:
username = joe password = access
必须使用此相同的用户名和密码登录 NetBackup。
可以使用与登录操作系统所用的用户名不同的用户名登录 NetBackup 应用程序服务器。例如,如果使用用户名 joe 登录操作系统,随后便可以 root 身份登录 jnbSA。
只有主服务器的 auth.conf 文件才支持 Active Directory (AD) 组。
使用 auth.conf 文件中的 <GRP> 标记定义用户组。
注意:
运行 vssat validateprpl 命令以验证在 auth.conf 文件中定义的组名称的格式。
有关命令的更多信息,请参见 NetBackup 命令参考指南。
如果用户属于多个组,将对该用户的访问权限进行组合。例如,user1 属于名为 BackupAdmins 和 StorageUnitAdmins 的用户组。
<GRP> domain1\BackupAdmins ADMIN=SUM JBP=BU <GRP> domain1\StorageUnitAdmins ADMIN=CAT JBP=RAWPART
user1 的访问权限组合如下:ADMIN=SUM+CATJBP=BU+RAWPART
如果 auth.conf 文件中存在用户和该用户所属的用户组,则将组合后的访问权限分配给用户。例如:user1 属于名为 BackupAdmins 和 StorageUnitAdmins 的用户组。
domain\user1 ADMIN=JBP JBP=ENDUSER <GRP> domain\BackupAdmins ADMIN=CAT JBP=BU <GRP> domain\StorageUnitAdmins ADMIN=SUM JBP=RAWPART
user1 的访问权限如下:ADMIN=JBP+SUM+CATJBP=BU+RAWPART+ENDUSER
如果 auth.conf 文件中存在重复的用户和/或用户组条目 - 将采纳用户和/或用户组的第一个条目,并将组合后的访问权限分配给用户。例如:user1 属于 BackupAdmins 用户组,
auth.conf文件包含 BackupAdmins 用户组的两个条目。<GRP> domain1\BackupAdmins ADMIN=CAT JBP=BU <GRP> domain1\BackupAdmins ADMIN=SUM JBP=RAWPART
user1 的访问权限如下:ADMIN=CATJBP=BU
退出后,一些应用程序状态信息(例如,表中各列的顺序)会自动保存在 $HOME/.java/.userPrefs/vrts 目录的 joejoe 目录中。下次使用帐户 joe 登录操作系统并启动 NetBackup 应用程序时,将会还原这些信息。如果有多名管理员,这种登录方法就很有用,因为它可以保存每个管理员的状态信息。
注意:
首次退出应用程序时,NetBackup 会创建用户的 $HOME/.java/.userPrefs/vrts 目录。只有 NetBackup 应用程序使用 .java/.userPrefs/vrts 目录。