Control de acceso en NetBackup (NBAC)

Introducción

 

El control de acceso de NetBackup permite establecer las tareas que puede realizar cada equipo, de tal forma que podemos tener operadores que sólo puedan manejar las cintas mientras que otros administradores puedan relanzar trabajos fallidos por ejemplo. También evita que se tenga que conectar al servidor con permisos de administrador.

 

 

Configuración

 

La configuración se hace con la utilidad «bpnbaz» que será necesario ejecutar en nuestra infraestructura de NetBackup. Primero tendremos que ejecutar en nuestro master server:

 

bpnbaz -setupmaster
You will have to restart NetBackup services on this machine after the command completes successfully.
Do you want to continue(y/n)y
Gathering configuration information.
Please be patient as we wait for 10 sec for the security services to start their operation.
Generating identity for host ‘epereira-nbu01’
Setting up basic authorization information. Please be patient.
Basic authorization information generated successfully.
Granting authorization check permissions to host ‘epereira-nbu01’
Configuring authentication domains within NetBackup
Setting up authorization information in NetBackup configuration files.
Setting up NBAC on target host: epereira-nbu01
Warning: NetBackup Master Server is currently configured in AUTOMATIC mode. Security will be enforced only in REQUIRED mode. This can be done after entire NetBackup domain is configured with NBAC
Operation completed successfully.

Después tendremos que reiniciar los servicios. Hay que fijarse que la configuración se pone en AUTOMATICO, y deberá estar así hasta que configuremos el resto de los servidores (ya que si no nos fallará la configuración) y lo podamos poner en REQUERIDO.

 

Ahora deberemos configurar la autenticación en los media servers, para ellos ejecutaremos estos comandos en el master server:

 

Primero «bpnbat -login»:

 

bpnbat -login
Authentication Broker: epereira-nbu01
Authentication port [0 is default]:
Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd, ldap): WINDOWS
Domain: epereira-nbu01
Login Name: administrator
Password: *********
Operation completed successfully.

 

A continuación podemos ejecutar «bpnbaz -setupmedia» (en el master server) con la opción «dryrun» para ver si todo es correcto:

 

C:\Users\Administrator>bpnbaz -setupmedia -all -dryrun
Gathering configuration information.
You will have to restart NetBackup services on ‘epereira-nbu03’ after the actual command completes successfully.
WARNING! Before restarting, please delete AzHandleCache.data file on media server, if exists already at <INSTALL_DIR>\NetBackup\var\vxss directory on Windows or at <INSTALL_DIR>/va
r/vxss/ on Unix.
Do you want to continue(y/n)y
Enter password if the media server is pre 7.0 else press ENTER:
The file: SetupMedia.nbac has been updated in the current directory with results of this operation
Warning: NetBackup Media Server is currently configured in AUTOMATIC mode. Security will be enforced only in REQUIRED mode. This can be done after entire NetBackup domain is config
ured with NBAC
Operation completed successfully.

 

Posteriormente ejecutaremos (en el master server):

 

bpnbaz -setupmedia -all
Gathering configuration information.
You will have to restart NetBackup services on ‘epereira-nbu03’ after the command completes successfully.
WARNING! Before restarting, please delete AzHandleCache.data file on media server, if exists already at <INSTALL_DIR>\NetBackup\var\vxss directory on Windows or at <INSTALL_DIR>/va
r/vxss/ on Unix.
Do you want to continue(y/n)y
Enter password if the media server is pre 7.0 else press ENTER:
Setting up NBAC on target host: epereira-nbu03
The file: SetupMedia.nbac has been updated in the current directory with results of this operation
Warning: NetBackup Media Server is currently configured in AUTOMATIC mode. Security will be enforced only in REQUIRED mode. This can be done after entire NetBackup domain is config
ured with NBAC
Operation completed successfully.

 

Ahora será necesario reiniciar los servicios en nuestros media servers, pero antes hay que borrar el fichero AzHandleCache.data si existe en el directorio <INSTALL_DIR>\NetBackup\var\vxss.

 

Por último configuraremos la autenticación en los clientes, ejecutando (también desde el master):

 

bpnbaz -setupclient epereira-sql01
Gathering configuration information.
looking for epereira-sql01
Enter password if the client is pre 7.0 else press ENTER:
Setting up NBAC on target host: epereira-sql01
The file: SetupClient.nbac has been updated in the current directory with results of this operation
Warning: NetBackup Client is currently configured in AUTOMATIC mode. Security will be enforced only in REQUIRED mode. This can be done after entire NetBackup domain is configured with NBAC
Operation completed successfully.

 

Tendremos que reiniciar también los servicios en los clientes.

 

Hasta aquí teníamos la configuración de seguridad en AUTOMATICO, ahora lo podremos poner en REQUIRED para forzar la autenticación. Esto lo podremos cambiar en las propiedades del master/media/clientes desde la consola de administración. No hay que olvidar reiniciar los servicios una vez que esté hecho el cambio:

 

2016-10-24_18-38-05

 

Una vez configurada la autenticación, podremos revisar los usuarios/grupos desde le pestaña «Access Management»:

 

2016-10-24_18-41-24

 

Veremos que hay unos grupos predefinidos:

 

2016-10-24_18-42-19

 

También podremos crear grupos para personalizarlos según nuestras necesidades para posteriormente añadir los usuarios en cada uno de ellos.

 

 

Referencias

 

NetBackup 7.7 Security and Encryption Guide

Configuring NetBackup Access Control (NBAC) on media servers

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *