Introducción
Desde la versión 8.3 de Netbackup se puede integrar netbackup con un proveedor de identidades, lo cual nos permite poder configurar un doble factor de autenticación. Para ello es necesario integrar Netbackup con un proveedor SAML 2.0 que nos haga la validación de usuarios, como pueden ser los siguientes:
- ADFS: https://www.veritas.com/docs/100047744
- OKTA: https://www.veritas.com/docs/100047745
- PingFederate:https://www.veritas.com/docs/100047746
- Azure: https://www.veritas.com/docs/100047748
- Sibboleth: https://www.veritas.com/docs/00047747
Es necesario que estos proveedores de identidad validen contra un Directorio Activo o un servidor LDAP.
Configuración
Los pasos para realizar la integración de nuestro Netbackup con un proveedor SAML 2.0 son los siguientes. Primero tenemos que crear el almacén de claves:
/usr/openv/netbackup/bin/nbidpcmd -cCert -M <master server>
A continuación, tendremos que registrar el proveedor SAML en Netbackup, para lo cual necesitaremos un fichero xml que nos tendrá que pasar el administrador del proveedor de identidades, y lo registraremos de la siguiente forma:
/usr/openv/netbackup/bin/nbidpcmd -ac -n SAML_NBUGURU -mxp /tmp/IDP_NBUGURU_metadata.xml -e true -t SAML2 -u emailAddress -g Groups -M <master server>
Ahora tendremos que dar de alta Netbackup en el proveedor de identidades, siguiendo la guía de Veritas para cada proveedor. Podemos descargar el fichero con la configuración desde la siguiente url de nuestro master server:
https://master-server/netbackup/sso/saml2/metadata
Este fichero sp-metadata.xml lo necesitará nuestro administrador del proveedor de identidades para poder finalizar la configuración.
Y por último tendremos que añadir a los usuarios que queremos que puedan hacer login en la consola web en Security->RBAC con los privilegios adecuados:
Si todo ha ido bien, ahora al acceder a la consola web nos pedirá la opción de usar SSO, que nos llevará a la pantalla de login de nuestro IDP:
También podemos usar esta funcionalidad en la consola java (a partir de la versión 9.1):
Se abrirá un navegador web y nos validaremos contra nuestro IDP:
De esta forma podemos aumentar la seguridad de acceso a nuestra infraestructura de Backup, para hacer más difícil la suplantación de identidades en caso de que se comprometan las contraseñas de los administradores.
Referencias
Configure Single Sign-On (SSO) in NetBackup
About Single Sign-On (SSO) configuration
Genial !!!
Como siempre!!
Muchas gracias de nuevo :-)
Un abrazo,
Enrique