Vous êtes sur la page 1sur 91

Guide de l’interface

utilisateur Web
NetBackup™ pour
l’administrateur de sécurité

Version 8.2
Guide de l’administrateur de sécurité de l’interface
utilisateur Web NetBackup
Dernière mise à jour : 2019-06-30

Mentions légales
Copyright © 2019 Veritas Technologies LLC. Tous droits réservés.

Veritas, le logo Veritas et NetBackup sont des marques commerciales ou des marques
déposées de Veritas Technologies LLC ou de ses affiliés aux Etats-Unis et dans d'autres
pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.

Ce produit peut contenir des logiciels tiers pour lesquels Veritas est tenu de mentionner les
tiers concernés ("Programmes tiers"). Certains des programmes tiers sont disponibles sous
licence Open Source ou gratuites. Le contrat de licence accompagnant le logiciel ne modifie
aucun des droits ou obligations que vous pouvez avoir dans le cadre de ces licences Open
Source ou de logiciel gratuit. Reportez-vous au document des mentions légales tierces
accompagnant ce produit Veritas ou disponible à l’adresse :

https://www.veritas.com/about/legal/license-agreements

Le produit décrit dans ce document est distribué dans le cadre de licences limitant son
utilisation, sa copie, sa distribution et sa décompilation ou son ingénierie inverse. Vous ne
pouvez reproduire aucune partie de ce document sous quelque forme ou par quelque moyen
que ce soit sans avoir reçu au préalable l'autorisation écrite de Veritas Technologies LLC et
de ses ayants droit éventuels.

LA DOCUMENTATION EST FOURNIE "EN L'ÉTAT" ET L'ENTREPRISE N'ASSUME AUCUNE


RESPONSABILITÉ QUANT À UNE GARANTIE OU CONDITION D'AUCUNE SORTE,
EXPRESSE OU IMPLICITE, Y COMPRIS TOUTES GARANTIES OU CONDITIONS
IMPLICITES DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER
OU DE RESPECT DES DROITS DE PROPRIÉTÉ INTELLECTUELLE, DANS LA MESURE
OÙ CETTE CLAUSE D'EXCLUSION DE RESPONSABILITÉ RESPECTE LA LOI EN
VIGUEUR. VERITAS TECHNOLOGIES LLC NE PEUT ETRE TENUE RESPONSABLE DES
DOMMAGES INDIRECTS OU ACCESSOIRES LIES A LA FOURNITURE, AUX
PERFORMANCES OU A L'UTILISATION DE CETTE DOCUMENTATION. LES
INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUJETTES A
MODIFICATION SANS PREAVIS.

Le logiciel et la documentation sous licence sont assimilables à un logiciel commercial selon


les définitions de la section FAR 12.212 et soumis aux restrictions spécifiées dans les sections
FAR 52.227-19, "Commercial Computer Software - Restricted Rights" et DFARS 227.7202
et "Commercial Computer Software and Commercial Computer Software Documentation" en
vigueur et selon toute autre législation en vigueur, qu'ils soient fournis par Veritas en tant que
services locaux ou hébergés. Toute utilisation, modification, reproduction, représentation ou
divulgation du logiciel ou de la documentation sous licence par le gouvernement des Etats-Unis
doit être réalisée exclusivement conformément aux conditions de Contrat.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054

http://www.veritas.com

Support technique
Le support technique entretient globalement les centres de support. Tous les services de
support sont fournis conformément à votre contrat de support et aux politiques de support
technique en vigueur dans l'entreprise. Pour plus d'informations sur les offres de support et
comment contacter le support technique, rendez-vous sur notre site web :

https://www.veritas.com/support

Vous pouvez gérer les informations de votre compte Veritas à l'adresse URL suivante :

https://my.veritas.com

Si vous avez des questions concernant un contrat de support existant, envoyez un message
électronique à l'équipe d'administration du contrat de support de votre région :

Dans le monde entier (sauf le Japon) CustomerCare@veritas.com

Japon CustomerCare_Japan@veritas.com

Documentation
Assurez-vous que vous utilisez la version actuelle de la documentation. Chaque document
affiche la date de la dernière mise à jour sur la page 2. La documentation la plus récente est
disponible sur le site web de Veritas :
https://sort.veritas.com/documents

Commentaires sur la documentation


Vos commentaires sont importants pour nous. Suggérez des améliorations ou rapportez des
erreurs ou omissions dans la documentation. Indiquez le titre et la version du document, le
titre du chapitre et le titre de la section du texte que vous souhaitez commenter. Envoyez le
commentaire à :

NB.docs@veritas.com

Vous pouvez également voir des informations sur la documentation ou poser une question
sur le site de la communauté Veritas :

http://www.veritas.com/community/

Services and Operations Readiness Tools (SORT) de Veritas


SORT (Services and Operations Readiness Tools) de Veritas est un site web qui fournit de
l'information et des outils pour automatiser et simplifier certaines tâches administratives qui
prennent du temps. Selon le produit, SORT vous aide à préparer les installations et les mises
à jour, à identifier les risques dans vos data centers et à améliorer l'efficacité opérationnelle.
Pour voir quels services et quels outils SORT fournit pour votre produit, voyez la fiche de
données :

https://sort.veritas.com/data/support/SORT_Data_Sheet.pdf
Table des matières

Chapitre 1 Présentation de l’interface utilisateur Web


NetBackup ....................................................................... 8
À propos de l’interface utilisateur Web NetBackup ................................ 8
Terminologie ................................................................................ 11
Première connexion à un serveur maître NetBackup à partir de
l’interface utilisateur Web NetBackup .......................................... 13
Connexion à l’interface utilisateur Web NetBackup .............................. 14
Utilisateurs autorisés ..................................................................... 15
Tableau de bord NetBackup ........................................................... 16

Chapitre 2 Gestion du contrôle d’accès basé sur les rôles


........................................................................................... 18

À propos du contrôle d’accès en fonction des rôles (RBAC) dans


NetBackup ............................................................................ 18
Rôles RBAC par défaut dans NetBackup ........................................... 19
Configuration de RBAC ................................................................. 21
Ajout d’un rôle personnalisé ............................................................ 22
Modification ou suppression d'un rôle personnalisé ............................. 27
À propos des groupes d'objets ........................................................ 28
Étapes de création de groupe d'objets .............................................. 29
Sélection des biens pour un groupe d'objets ................................ 30
Sélection de serveurs d'application pour un groupe d'objets ............ 32
Sélection de plans de protection pour un groupe d'objets ................ 34
Prévisualiser les objets d'un groupe d'objets ................................ 34
Modification ou suppression d'un groupe d'objets ................................ 35
Ajout d’un accès utilisateur via des règles d’accès ............................... 36
Modification ou suppression de règles d'accès utilisateur ...................... 37

Chapitre 3 Ajout de domaines AD ou LDAP ................................... 40


Ajout des domaines AD ou LDAP .................................................... 40
Table des matières 6

Chapitre 4 Evénements de sécurité et journaux d’audit ............. 42


Affichage des événements de sécurité et des journaux d’audit ............... 42
À propos de l'audit de NetBackup .................................................... 43
Identité d'utilisateur dans le rapport d'audit .................................. 46
Période de conservation d'audit et sauvegardes de catalogue des
enregistrements d'audit ..................................................... 47
Affichage du rapport d'audit détaillé NetBackup ............................ 47

Chapitre 5 Gestion des hôtes ............................................................. 51

Affichage des informations sur l’hôte NetBackup ................................. 51


Approbation ou ajout de mappages pour un hôte ayant plusieurs noms
........................................................................................... 52
Suppression de mappages pour un hôte ayant plusieurs noms .............. 54
Réinitialisation des attributs d’un hôte ............................................... 55

Chapitre 6 Gestion des certificats de sécurité ............................... 56

À propos de la gestion de la sécurité et des certificats dans NetBackup


........................................................................................... 56
ID d’hôtes NetBackup et certificats basés sur l’ID de l’hôte .................... 57
Gestion des certificats de sécurité NetBackup .................................... 58
Réémission d'un certificat NetBackup ......................................... 60
Gestion des jetons d’autorisation de certificat NetBackup ............... 61
Utilisation des certificats de sécurité externes avec NetBackup .............. 63
Affichage des informations de certificats externes pour les hôtes
NetBackup dans le domaine ............................................... 64

Chapitre 7 Gestion des sessions utilisateur ................................... 66

Afficher un message lorsque les utilisateurs se connectent ................... 66


Activer le nombre maximal de tentatives de connexion et les
paramètres de délai d'inactivité pour les sessions utilisateur ............ 67
Déconnecter une session utilisateur NetBackup .................................. 67
Déverrouiller un utilisateur de NetBackup .......................................... 68

Chapitre 8 Gestion des paramètres de sécurité du serveur


maître .............................................................................. 69
Autorité de certification pour la communication sécurisée ..................... 69
Désactivation de la communication avec les hôtes NetBackup 8.0 et
antérieurs ............................................................................. 70
Désactivation du mappage automatique des noms d’hôte NetBackup
........................................................................................... 70
Table des matières 7

À propos des niveaux de sécurité de déploiement de certificat


NetBackup ............................................................................ 71
Sélection d’un niveau de sécurité pour le déploiement de certificat
NetBackup ............................................................................ 73
Définition d’une phrase de passe pour la reprise après incident ............. 74

Chapitre 9 Création et utilisation des clés d’API ........................... 75


À propos des clés d'API ................................................................. 75
Gérer les clés d'API ...................................................................... 76
Utiliser une clé d'API avec les API REST de NetBackup ....................... 77
Afficher les clés d'API .................................................................... 78

Chapitre 10 Configuration de l’authentification par carte à


puce ................................................................................. 79
Configuration de l’authentification utilisateur avec des cartes à puce
ou des certificats numériques .................................................... 79
Modifier la configuration pour l'authentification par carte à puce ............. 81
Ajout ou suppression d’un certificat de l’autorité de certification utilisé
pour l’authentification par carte à puce ........................................ 82
Désactivation ou désactivation temporaire de l’authentification par
carte à puce .......................................................................... 83

Chapitre 11 Dépannage de l’accès à l’interface utilisateur


Web ................................................................................. 84
Conseils pour accéder à l’interface utilisateur Web NetBackup .............. 84
L’utilisateur ne dispose pas des autorisations ou de l’accès appropriés
dans l’interface utilisateur Web NetBackup .................................. 86
Impossible d’ajouter des domaines AD ou LDAP avec la commande
vssat .................................................................................... 86
Impossible d’établir la connexion avec le serveur AD ou LDAP
..................................................................................... 87
Informations d’authentification de l’utilisateur non valides ................ 89
Un nom unique de base de groupe ou d’utilisateur incorrect a été
fourni ............................................................................. 89
Plusieurs utilisateurs ou groupes existent avec le même nom sous
le nom unique de base de l’utilisateur ou le nom unique de
base du groupe ................................................................ 90
L’utilisateur ou le groupe n’existe pas ......................................... 90
Chapitre 1
Présentation de l’interface
utilisateur Web NetBackup
Ce chapitre traite des sujets suivants :

■ À propos de l’interface utilisateur Web NetBackup

■ Terminologie

■ Première connexion à un serveur maître NetBackup à partir de l’interface


utilisateur Web NetBackup

■ Connexion à l’interface utilisateur Web NetBackup

■ Utilisateurs autorisés

■ Tableau de bord NetBackup

À propos de l’interface utilisateur Web NetBackup


L’interface utilisateur Web NetBackup fournit les fonctions suivantes :
■ L’accès au serveur maître à partir d’un navigateur Web, y compris Chrome et
Firefox.
Pour plus de détails sur les navigateurs pris en charge pour l'interface utilisateur
Web, consultez la liste de compatibilité logicielle NetBackup.
■ Tableau de bord fournissant un aperçu des informations importantes pour vous
■ Contrôle des accès basé sur les rôles (RBAC) permettant à l'administrateur de
configurer l'accès utilisateur à NetBackup et de déléguer les tâches liées à la
sécurité, à la gestion des sauvegardes ou à la protection des charges de travail
Présentation de l’interface utilisateur Web NetBackup 9
À propos de l’interface utilisateur Web NetBackup

■ Les administrateurs de sécurité de NetBackup peuvent gérer la sécurité de


NetBackup, les certificats, RBAC, les clés d'API, les sessions utilisateur et les
comptes d'utilisateur NetBackup verrouillés.
■ Les administrateurs de sauvegarde fournissent des services de protection pour
remplir leurs objectifs de niveau de service (SLO). La protection des biens est
assurée grâce aux plans de protection, à la gestion des travaux et à la visibilité
de l’état de protection des biens.
■ Les administrateurs de charge de travail peuvent abonner des biens à des plans
de protection conformes aux objectifs de niveau de service, surveiller l’état de
protection et effectuer une récupération en libre-service des machines virtuelles.
L'interface utilisateur Web est compatible avec les charges de travail suivantes :
■ Cloud
■ Red Hat Virtualization (RHV)
■ VMware

■ Les rapports d’utilisation contrôlent la taille des données de sauvegarde sur vos
serveurs maîtres. Vous pouvez aussi vous connecter facilement au compteur
intelligent de Veritas pour afficher et gérer les licences NetBackup.

Contrôle d’accès dans l’interface utilisateur Web


NetBackup
NetBackup utilise le contrôle d’accès en fonction des rôles pour accorder l’accès
à l’interface utilisateur Web. Ce contrôle d’accès définit les tâches qu’un utilisateur
peut effectuer et les biens qu’il peut afficher et gérer. Le contrôle d’accès est assuré
à l’aide de règles d’accès.
■ Les règles d’accès associent un utilisateur ou un groupe d’utilisateurs à un rôle
et à un groupe d’objets. Le rôle définit les autorisations dont dispose un
utilisateur. Un groupe d'objets définit les biens et les objets NetBackup auxquels
un utilisateur peut accéder. Vous pouvez créer plusieurs règles d'accès pour
un utilisateur ou un groupe unique, permettant une personnalisation complète
et flexible de l'accès utilisateur.
■ NetBackup comporte trois rôles par défaut. Vous pouvez choisir celui qui répond
le mieux aux besoins d’un utilisateur ou créer un rôle personnalisé tenant compte
des exigences propres à cet utilisateur.
■ Les groupes d’objets permettent de définir des groupes de serveurs d’application
ou de biens, mais aussi d’indiquer les plans de protection que les utilisateurs
peuvent afficher ou gérer. Par exemple, vous pouvez accorder des droits d’accès
aux administrateurs VMware en créant un groupe d’objets contenant des
serveurs d’application VMware spécifiques. Vous pouvez aussi ajouter au groupe
Présentation de l’interface utilisateur Web NetBackup 10
À propos de l’interface utilisateur Web NetBackup

d’objets les plans de protection spécifiques que l’administrateur VMware peut


choisir afin de protéger les biens VMware.
■ RBAC est disponible uniquement pour l’interface utilisateur Web et les API.
Les autres méthodes de contrôle d’accès pour NetBackup ne sont pas prises
en charge pour les API ni par l’interface utilisateur Web, à l’exception de l’audit
amélioré (EA). Vous ne pouvez pas utiliser l’interface utilisateur Web si le contrôle
d’accès à NetBackup (NBAC) est activé.

Surveiller les travaux et les événements NetBackup


L’interface utilisateur Web NetBackup permet aux administrateurs de sécurité et
de sauvegarde de surveiller plus facilement les événements et les opérations
NetBackup afin de repérer les problèmes qui requièrent votre attention.
■ Le tableau de bord permet à l’administrateur de sécurité NetBackup de consulter
l’état des certificats de sécurité et des événements d’audit.
■ Il permet aussi à l’administrateur de sauvegarde de consulter l’état des travaux
NetBackup. Les notifications par courrier électronique peuvent également être
configurées de sorte à ce que ces administrateurs reçoivent des notifications
en cas d’échecs de travaux. NetBackup prend en charge tout système d’émission
de tickets pouvant recevoir des courriers électronique entrants.

Plans de protection : un emplacement pour configurer les


planifications, le stockage et les options de stockage
Les plans de protection offrent les avantages suivants :
■ Outre la planification des sauvegardes, un plan de protection peut inclure une
planification pour la réplication et la conservation à long terme.
■ Vous pouvez facilement choisir entre un stockage sur site ou par snapshot.
■ Lorsque vous sélectionnez le stockage disponible, toutes les fonctions
supplémentaires disponibles pour ce stockage s’affichent.
■ L’administrateur de sauvegarde crée et gère les plans de protection. Par
conséquent, il est responsable du stockage et de la planification des
sauvegardes.
■ L’administrateur de charge de travail choisit principalement les plans de
protection à utiliser pour protéger les biens ou les groupes intelligents.
Cependant, l’administrateur de sauvegarde peut également protéger les biens
en les abonnant à des plans de protection si nécessaire.
Présentation de l’interface utilisateur Web NetBackup 11
Terminologie

Récupération en libre-service

Terminologie
Le tableau suivant décrit les concepts et les termes introduits dans la nouvelle
interface utilisateur Web.

Tableau 1-1 Concepts et terminologie de l’interface utilisateur Web

Terme Définition

Règle d’accès Pour RBAC, définit un utilisateur ou un groupe d’utilisateurs, le


rôle ou les autorisations, et le groupe d’objets auxquels l’utilisateur
ou le groupe d’utilisateurs peut accéder. Un utilisateur ou un
groupe peut avoir plusieurs règles d’accès.

Administrateur Utilisateur disposant de l’ensemble des autorisations et des droits


d’accès dans NetBackup et dans toutes les interfaces, y compris
l’interface utilisateur Web NetBackup. L’utilisateur racine,
l’administrateur et l’utilisateur de l’audit amélioré ont tous un
accès complet à NetBackup. Dans les guides de l’interface
utilisateur Web NetBackup, le terme administrateur NetBackup
se rapporte également à un utilisateur qui dispose des
autorisations complètes pour NetBackup, généralement un
utilisateur de la console d’administration NetBackup.

Voir également le terme Rôle.

Groupe de biens Voir le terme Groupe intelligent.

Bien Données devant être protégées, telles que les clients physiques,
les machines virtuelles et les applications de base de données.

Politique classique Dans l’interface utilisateur Web NetBackup, indique qu’une


politique héritée protège le bien. Les politiques héritées sont
créées avec la console d’administration NetBackup.

Certificat externe Certificat de sécurité émis par une autorité de certification autre
que NetBackup.

Groupe intelligent Permet à NetBackup de sélectionner automatiquement des biens


à protéger en fonction de critères (requêtes) que vous spécifiez.
Les modifications apportées dans l’environnement de production
sont automatiquement appliquées dans le groupe intelligent. Ces
groupes sont également appelés groupes de biens.

Pour VMware et RHV, ces groupes se trouvent sous l'onglet


Groupes intelligents de VM.
Présentation de l’interface utilisateur Web NetBackup 12
Terminologie

Terme Définition

Groupe d’objets Pour RBAC, collection de biens, de plans de protection, de


serveurs et d’autres biens auxquels l’utilisateur a accès.

Certificat NetBackup Certificat de sécurité émis par l'autorité de certification NetBackup.

Plan de protection Un plan de protection définit le moment d’exécution des


sauvegardes, le temps pendant lequel elles sont conservées
ainsi que le type de stockage à utiliser. Une fois qu’un plan de
protection est configuré, vous pouvez y abonner des biens.

RBAC Contrôle d’accès en fonction des rôles. Les administrateurs


peuvent déléguer ou limiter l’accès à l’interface utilisateur Web
NetBackup via les règles d’accès qui sont configurées dans
RBAC.

Remarque : les règles que vous configurez dans RBAC ne


contrôlent pas l’accès aux interfaces de ligne de commande ou
à la console d’administration NetBackup. L’interface utilisateur
Web n’est pas prise en charge avec le contrôle d’accès à
NetBackup (NBAC) et ne peut pas être utilisée si NBAC est activé.

Rôle Pour RBAC, définit les autorisations qu’un utilisateur peut avoir.
NetBackup a trois rôles définis par le système qui permettent aux
utilisateurs de gérer la sécurité, les plans de protection et les
sauvegardes, ou de gérer les biens de la charge de travail.

Stockage Stockage sur lequel les données sont sauvegardées, répliquées


ou dupliquées (pour la conservation à long terme). Le stockage
de snapshot est utilisé pour les charges de travail sur le cloud.

Abonner (à un plan de L'action de sélectionner un plan de protection pour protéger un


protection) bien ou un groupe de biens. Le bien est protégé en fonction de
la planification et des paramètres de stockage définis dans le
plan. Dans l'interface utilisateur Web, l'action Abonner est
également appelée Ajouter la protection.

Désabonnement d'un L'option Désabonner permet de supprimer la protection ou de


plan de protection supprimer un bien ou un groupe de biens d'un plan.

Charge de travail Type de bien. Par exemple, VMware, RHV ou cloud.

Workflow Processus de bout en bout qui peut être exécuté à l’aide de


l’interface utilisateur Web NetBackup. Par exemple, vous pouvez
protéger et récupérer des biens VMware et cloud dans NetBackup
à partir de la version 8.1.2.
Présentation de l’interface utilisateur Web NetBackup 13
Première connexion à un serveur maître NetBackup à partir de l’interface utilisateur Web NetBackup

Première connexion à un serveur maître


NetBackup à partir de l’interface utilisateur Web
NetBackup
Après l’installation de NetBackup, un utilisateur racine ou un administrateur doit se
connecter à l’interface utilisateur Web NetBackup à partir d’un navigateur Web et
créer des règles d’accès RBAC pour les utilisateurs. Une règle d’accès donne à
un utilisateur des autorisations et l’accès à l’environnement NetBackup via l’interface
utilisateur Web selon son rôle dans votre organisation. Certains utilisateurs ont
accès à l’interface utilisateur Web par défaut.
Se reporter à "Utilisateurs autorisés" à la page 15.
Pour se connecter à un serveur maître NetBackup à l’aide de l’interface
utilisateur Web NetBackup
1 Ouvrez un navigateur Web et accédez à l’URL suivante.
https://masterserver/webui/login
masterserver est le nom d’hôte ou adresse IP du serveur maître NetBackup
auquel vous voulez vous connecter.
Si vous n’êtes pas en mesure d’accéder à l’interface utilisateur Web, consultez
Prise en charge et configuration supplémentaire.
2 Entrez les informations d’authentification de l’utilisateur racine ou de
l’administrateur, puis cliquez sur Connexion.

Pour ce type Utilisez ce format Exemple


d’utilisateur

Utilisateur local username racine

Utilisateur de domaine DOMAIN\username WINDOWS\Administrator

3 Sur la gauche, sélectionnez Sécurité > RBAC.


4 Vous pouvez donner aux utilisateurs l’accès à l’interface utilisateur Web
NetBackup de l’une des manières suivantes :
■ Créez des règles d’accès pour tous les utilisateurs qui doivent accéder à
NetBackup.
■ Déléguez la tâche de création de règles d’accès à un autre utilisateur.
Créez une règle d’accès pour cet utilisateur avec le rôle d’ administrateur
de la sécurité. Cet utilisateur peut créer des règles pour tous les utilisateurs
qui nécessitent un accès à l’interface utilisateur Web NetBackup.
Présentation de l’interface utilisateur Web NetBackup 14
Connexion à l’interface utilisateur Web NetBackup

Se reporter à "Configuration de RBAC" à la page 21.


L’accès d’utilisateur racine ou d’administrateur n’est plus nécessaire pour
l’interface utilisateur Web une fois que vous avez délégué à un ou plusieurs
utilisateurs le rôle d’administrateur de la sécurité de NetBackup.

Prise en charge et configuration supplémentaire


Consultez les informations suivantes pour vous aider à accéder à l'interface
utilisateur web.
■ Assurez-vous que vous êtes un utilisateur autorisé.
Se reporter à "Utilisateurs autorisés" à la page 15.
■ Pour plus de détails sur les navigateurs pris en charge pour l’interface utilisateur
Web, consultez la liste de compatibilité logicielle NetBackup.
■ Si le port 443 est bloqué ou en cours d’utilisation, vous pouvez configurer et
utiliser un port personnalisé.
■ Si vous voulez utiliser un certificat externe avec le navigateur Web, consultez
les instructions de configuration d'un certificat externe pour le serveur Web.
■ Consultez les autres conseils pour l'accès à l'interface utilisateur Web.

Connexion à l’interface utilisateur Web NetBackup


Les utilisateurs autorisés peuvent se connecter à un serveur maître NetBackup à
partir d’un navigateur Web via l’interface utilisateur Web NetBackup. Les options
de connexion suivantes sont disponibles :
■ Connexion avec un nom d’utilisateur et un mot de passe
■ Connexion avec un certificat ou une carte à puce

Connexion avec un nom d’utilisateur et un mot de passe


Vous pouvez vous connecter à l’interface utilisateur Web NetBackup si vous êtes
un utilisateur autorisé. Pour plus d’informations, contactez votre administrateur de
sécurité NetBackup.
Présentation de l’interface utilisateur Web NetBackup 15
Utilisateurs autorisés

Pour se connecter à un serveur maître NetBackup à l’aide de l’interface


utilisateur Web NetBackup
1 Ouvrez un navigateur Web et accédez à l’URL suivante.
https://masterserver/webui/login
masterserver est le nom d’hôte ou adresse IP du serveur maître NetBackup
auquel vous voulez vous connecter.
2 Entrez vos informations d’authentification et cliquez sur Se connecter.
Exemple :

Pour ce type Utilisez ce format Exemple


d’utilisateur

Utilisateur local username racine

Utilisateur de domaine DOMAIN\username WINDOWS\Administrator

Connexion avec un certificat ou une carte à puce


Vous pouvez vous connecter à l’interface utilisateur Web NetBackup avec une carte
à puce ou un certificat numérique si vous êtes un utilisateur autorisé. Pour plus
d’informations, contactez votre administrateur de sécurité NetBackup.
Pour utiliser un certificat numérique autre qu’une carte à puce, vous devez d’abord
charger le certificat dans le gestionnaire de certificats du navigateur. Consultez la
documentation du navigateur pour obtenir des instructions ou contactez votre
administrateur de certificats pour obtenir plus d’informations.
Pour se connecter avec un certificat ou une carte à puce
1 Ouvrez un navigateur Web et accédez à l’URL suivante.
https://masterserver/webui/login
masterserver est le nom d’hôte ou adresse IP du serveur maître NetBackup
auquel vous voulez vous connecter.
2 Cliquez sur Connexion avec un certificat ou une carte à puce.
3 Lorsque votre navigateur vous y invite, sélectionnez le certificat.

Utilisateurs autorisés
Les utilisateurs suivants sont autorisés à se connecter à l'interface utilisateur Web
NetBackup et à l'utiliser.
Présentation de l’interface utilisateur Web NetBackup 16
Tableau de bord NetBackup

Tableau 1-2 Utilisateurs autorisés à utiliser l’interface utilisateur Web


NetBackup

Utilisateur Accès

Utilisateurs racine, administrateur et Complète


utilisateur de l’audit amélioré

Utilisateur de l’appliance nbasecadmin Le rôle d’administrateur de la sécurité


NetBackup permet d’accorder l’accès à
Utilisateur de l’appliance Flex appadmin
d’autres utilisateurs de l’appliance.

Remarque : l’utilisateur admin par défaut


pour l’appliance NetBackup n’a pas accès à
l’interface utilisateur Web.

Utilisateur avec un rôle par défaut ou un rôle Variable


RBAC personnalisé

Tableau de bord NetBackup


Le tableau de bord NetBackup donne un aperçu rapide des détails liés à votre rôle
dans votre société.

Tableau 1-3 Tableau de bord NetBackup pour l’administrateur de sécurité


NetBackup

Widget de tableau de Description


bord

Certificats Affiche les informations sur les certificats externes ou les certificats de sécurité basés
sur l'ID d'hôte NetBackup dans votre environnement.

Pour les certificats externes, les informations suivantes sont affichées pour les hôtes
NetBackup 8.2 :

■ Nombre total d’hôtes. Nombre total d’hôtes. Les hôtes doivent être en ligne et
pouvoir communiquer avec le serveur maître NetBackup.
■ Manquant. Nombre d’hôtes pour lesquels aucun certificat externe n’est inscrit.
■ Valide. Nombre d’hôtes pour lesquels un certificat externe est inscrit.
■ Expiré. Nombre d’hôtes avec des certificats externes ayant expiré.

Vous trouverez plus de détails dans la section Certificats > Certificats externes.

Se reporter à "À propos de la gestion de la sécurité et des certificats dans NetBackup"


à la page 56.

Jetons Affiche les informations concernant les jetons d'autorisation dans votre environnement.
Présentation de l’interface utilisateur Web NetBackup 17
Tableau de bord NetBackup

Widget de tableau de Description


bord

Evénements de sécurité La vue Historique d'accès fournit l'historique des événements de connexion. La vue
Événements d’audit comprend les événements lancés par les utilisateurs sur le
serveur maître NetBackup.
Chapitre 2
Gestion du contrôle
d’accès basé sur les rôles
Ce chapitre traite des sujets suivants :

■ À propos du contrôle d’accès en fonction des rôles (RBAC) dans NetBackup

■ Rôles RBAC par défaut dans NetBackup

■ Configuration de RBAC

■ Ajout d’un rôle personnalisé

■ Modification ou suppression d'un rôle personnalisé

■ À propos des groupes d'objets

■ Étapes de création de groupe d'objets

■ Modification ou suppression d'un groupe d'objets

■ Ajout d’un accès utilisateur via des règles d’accès

■ Modification ou suppression de règles d'accès utilisateur

À propos du contrôle d’accès en fonction des


rôles (RBAC) dans NetBackup
L’interface utilisateur Web NetBackup offre la possibilité d’appliquer le contrôle
d’accès en fonction des rôles dans votre environnement NetBackup. Utilisez le
RBAC pour fournir un accès aux utilisateurs qui n’ont actuellement pas accès à
NetBackup. Sinon, pour les utilisateurs actuels de NetBackup disposant d’un accès
administrateur, vous pouvez fournir des autorisations d’accès limitées en fonction
de leur rôle dans votre entreprise.
Gestion du contrôle d’accès basé sur les rôles 19
Rôles RBAC par défaut dans NetBackup

Pour plus d'informations sur les méthodes de contrôle d'accès de la console


d'administration NetBackup et le contrôle d'accès et les informations d'audit pour
les administrateurs et les utilisateurs racine, consultez le Guide de sécurité et de
chiffrement de NetBackup.

Tableau 2-1 Fonctions RBAC

Fonctionnalité Description

Rôles prédéfinis ou personnalisés Les rôles prédéfinis dans le RBAC permettent aux utilisateurs d’effectuer des
pour permettre aux utilisateurs tâches courantes pour un administrateur système, un administrateur de
d’effectuer des tâches spécifiques sauvegarde ou un administrateur de charge de travail. Vous pouvez aussi créer
des rôles personnalisés adaptés aux rôles de vos utilisateurs.

Les administrateurs et utilisateurs racine disposent toujours de toutes les


autorisations dans toutes les interfaces de NetBackup et dans les API.

Les utilisateurs peuvent accéder Les utilisateurs RBAC peuvent effectuer des tâches courantes pour leur rôle
aux zones et fonctions NetBackup d’entreprise, mais ne peuvent pas avoir accès à d’autres domaines et à d’autres
adaptées à leur rôle fonctions de NetBackup. RBAC contrôle également les biens que les utilisateurs
peuvent afficher ou gérer.

Audit des événements RBAC NetBackup audite les événements RBAC réussis.

Reprise après incident prête Les paramètres RBAC sont protégés par le catalogue NetBackup.

L’audit amélioré ou les L’audit amélioré est pris en charge sur toutes les interfaces. Vous pouvez continuer
configurations d’autorisation à utiliser les configurations d’autorisation (auth.conf) avec la console
(auth.conf) sont encore d’administration NetBackup et les interfaces de ligne de commande. Ces interfaces
disponibles sur les interfaces plus plus anciennes vous permettent de gérer l’accès à des workflows qui ne sont pas
anciennes encore pris en charge dans l’interface utilisateur Web NetBackup et dans les API
NetBackup.

Notez que le fichier auth.conf ne restreint pas l’accès à l’interface utilisateur


Web NetBackup ni aux API NetBackup. Vous ne pouvez pas utiliser l’interface
utilisateur Web si le contrôle d’accès à NetBackup (NBAC) est activé.

Rôles RBAC par défaut dans NetBackup


Avec les rôles RBAC par défaut de NetBackup, vous pouvez déléguer des tâches
comme la gestion de la sécurité de NetBackup, la configuration de plans de
protection et la gestion du travail, ainsi que la protection et la récupération des
biens.

Administrateur de sécurité NetBackup


L’administrateur de sécurité NetBackup effectue les tâches suivantes dans
l’environnement NetBackup :
Gestion du contrôle d’accès basé sur les rôles 20
Rôles RBAC par défaut dans NetBackup

■ Gère le contrôle d’accès en fonction des rôles. Cet utilisateur peut déléguer
l’accès à NetBackup. Cette tâche inclut la gestion des utilisateurs qui ont accès
à NetBackup, la gestion des rôles ou autorisations accordées aux utilisateurs,
ainsi que la gestion des biens NetBackup auxquels les utilisateurs ont accès.
■ Supervise la gestion de la sécurité. Cette tâche inclut la gestion des hôtes et
des certificats NetBackup, les paramètres de sécurité globale, la gestion des
sessions, les comptes d'utilisateur NetBackup verrouillés et les clés d'API. Les
utilisateurs possédant ce rôle peuvent également afficher les événements de
sécurité.

Administrateur de sauvegarde
L'administrateur de sauvegarde effectue les tâches suivantes dans l'environnement
NetBackup :
■ Configure les fournisseurs cloud, les serveurs d'application et les groupes
intelligents.
■ Configure les plans de protection pour l'administrateur de charges de travail.
■ Gère toutes l’activité associée à tous les travaux. Surveille toutes les opérations
de travail. Capable d’annuler, d’interrompre, de reprendre, de redémarrer et de
supprimer des travaux.
L'administrateur de sauvegardes peut également configurer NetBackup pour
envoyer des notifications par courrier électronique au système d'émission de
tickets lorsque certains travaux échouent.
■ Configure toutes les options de stockage pour le pool de déduplication du serveur
de médias (MSDP) et AdvancedDisk.
■ Configure NetBackup de façon à fonctionner avec les options Cloud et
OpenStorage.
■ Gère les points de récupération, notamment la possibilité de restaurer, de faire
expirer, de copier et de dupliquer les points de récupération.
■ Affiche les informations de rapports d'utilisation sur la taille des données de
sauvegarde pour les serveurs maîtres NetBackup.
Vous pouvez limiter l’accès (via des groupes d’objets) pour les utilisateurs disposant
du rôle Administrateur de sauvegarde ou d’un rôle personnalisé. Cependant,
vous ne pouvez pas limiter les travaux visibles par un administrateur de sauvegarde.
Les utilisateurs disposant de ce rôle peuvent visualiser toutes les activités de travail.

Administrateur de charge de travail


L’administrateur de charge de travail effectue les tâches suivantes dans
l’environnement NetBackup :
Gestion du contrôle d’accès basé sur les rôles 21
Configuration de RBAC

■ Gère les travaux qu’il initie.


■ Gère les biens auxquels il a accès.
■ Surveille l’état de protection et abonne les biens aux plans de protection.
■ Effectue la récupération des biens qu’il gère.
Vous pouvez limiter l’accès (via des groupes d’objets) pour les utilisateurs disposant
du rôle Administrateur de charge de travail.

Configuration de RBAC
Pour configurer le contrôle d’accès en fonction des rôles pour l’interface utilisateur
Web NetBackup, procédez comme suit.

Tableau 2-2
Étape Action Description

1 Configurez des domaines Pour que vous puissiez ajouter des utilisateurs de domaine, les domaines
Active Directory ou LDAP. Active Directory ou LDAP doivent être authentifiés auprès de NetBackup.

Utilisez la commande vssat pour configurer les domaines dans votre


environnement.

Se reporter à "Ajout des domaines AD ou LDAP" à la page 40.

2 Passez en revue les rôles NetBackup a trois rôles par défaut : administrateur système, administrateur
RBAC. de sauvegarde et administrateur de charge de travail. Passez en revue les
autorisations de ces rôles afin de déterminer le ou les rôles qui sont
appropriés pour vos utilisateurs.

Se reporter à "Rôles RBAC par défaut dans NetBackup" à la page 19.

Si nécessaire, créez un rôle personnalisé avec un ensemble personnalisé


d'autorisations.

Se reporter à "Ajout d’un rôle personnalisé" à la page 22.

3 Ajoutez des groupes d’objets. Créez des groupes d'objets pour organiser les biens, les serveurs
d'application ou les plans de protection dans votre environnement NetBackup.
Les groupes d'objets déterminent, par exemple, les biens qu'un utilisateur
peut afficher ou gérer.

Se reporter à "Étapes de création de groupe d'objets" à la page 29.


Gestion du contrôle d’accès basé sur les rôles 22
Ajout d’un rôle personnalisé

Étape Action Description

4 Accordez l’accès aux Créez des règles d'accès qui incluent un utilisateur, son rôle et le groupe
utilisateurs via des règles d'objets auquel il a accès. Vous pouvez créer plusieurs règles d'accès pour
d’accès. un utilisateur, ce qui signifie qu'un utilisateur peut être associé à plusieurs
rôles RBAC et accéder à plusieurs groupes d'objets.

Se reporter à "Ajout d’un accès utilisateur via des règles d’accès"


à la page 36.

Ajout d’un rôle personnalisé


Si les rôles NetBackup par défaut pour RBAC ne répondent pas à vos besoins,
vous pouvez configurer un rôle avec des autorisations de rôle personnalisé. Notez
cependant que les rôles personnalisés comportent certaines restrictions. Consultez
Restrictions associées aux rôles personnalisés.
Pour ajouter un rôle personnalisé
1 Sur la gauche, sélectionnez Sécurité > RBAC.
2 Sélectionnez l’onglet Rôles, puis cliquez sur Ajouter.
3 Fournissez un nom de rôle et une description.
Par exemple, vous pouvez indiquer que ce rôle est défini pour tous les
administrateurs de sauvegarde sur un service ou une région particulière.
4 Pour les autorisations de rôle, choisissez l’autorisation ou le type d’accès
que vous voulez accorder aux utilisateurs possédant ce rôle pour chaque type
d’autorisation.
Par exemple, vous souhaiterez peut-être qu’un utilisateur puisse visualiser les
plans de protection, mais pas les gérer. Vous pouvez également donner la
possibilité à certains utilisateurs d’effectuer des récupérations de biens, mais
pas de configurer les serveurs d’application ou les groupes de biens.
Consultez Tableau 2-3.
5 Cliquez sur Ajouter.

Autorisations associées aux rôles personnalisés


Tableau 2-3 décrit les autorisations individuelles que vous pouvez sélectionner
pour un rôle personnalisé.
Gestion du contrôle d’accès basé sur les rôles 23
Ajout d’un rôle personnalisé

Tableau 2-3 Description des autorisations associées aux rôles personnalisés

Catégorie d’autorisation Autorisation Action permise par l’autorisation

Gestion du travail Gérer des travaux Gère les travaux en cours ou terminés. Inclut la possibilité de
supprimer, d’annuler, de redémarrer ou d’interrompre un travail.
Autorise un utilisateur à
afficher des travaux ou à Afficher les travaux Permet d’afficher les travaux en cours ou terminés pour le serveur
gérer les opérations de maître.
travail.

Gestion de biens Gérer les serveurs Ajoutez des informations d'authentification de sorte que NetBackup
d'application et les puisse découvrir des informations supplémentaires pour la charge
Permet à un utilisateur de
groupes de biens de travail. Par exemple, lorsque l'utilisateur ajoute des informations
gérer des biens, d’abonner
d'authentification de VMware, NetBackup découvre plus de détails
des biens à des plans de
pour le serveur VMware. L'utilisateur peut alors afficher et
protection ou d’afficher des
sélectionner des objets sur le serveur vCenter.
biens.
Permet de créer et de gérer des groupes de biens (ou « groupes
Notez qu’un utilisateur peut
intelligents ») et d'abonner les groupes à des plans de protection.
uniquement gérer les biens
Quand la sauvegarde s'exécute, NetBackup crée dynamiquement
auxquels il a accès.
une liste de toutes les machines virtuelles qui remplissent les
conditions pour le groupe intelligent. Par exemple, un utilisateur
peut créer un groupe de machines virtuelles intelligent nommé
« Service financier ». L'utilisateur peut ensuite ajouter une condition
de sorte à inclure dans ce groupe toutes les machines virtuelles
dont le nom d'affichage commence par une chaîne spécifique
« financier ».

Gérer des biens Permet de gérer les biens associés aux charges de travail prises
en charge, ainsi que d’abonner des biens à des plans de
protection.

Visualiser des Permet de visualiser des biens associés aux charges de travail
biens prises en charge.

Gestion du stockage Gérer le stockage Créez, affichez, modifiez ou supprimez des serveurs et des unités
de stockage.
Autorisez un utilisateur à
afficher et à gérer les Remarque : les utilisateurs qui disposent uniquement de cette
serveurs et les unités de autorisation ne peuvent pas se connecter à l'interface utilisateur
stockage. Web.

Afficher le Affichez les attributs des serveurs et des unités de stockage.


stockage
Remarque : les utilisateurs qui disposent uniquement de cette
autorisation ne peuvent pas se connecter à l'interface utilisateur
Web.
Gestion du contrôle d’accès basé sur les rôles 24
Ajout d’un rôle personnalisé

Catégorie d’autorisation Autorisation Action permise par l’autorisation

Gestion du point de Gérer l'expiration Fait expirer les points de récupération disponibles pour un bien.
récupération des points de Cette fonctionnalité n'est actuellement disponible qu'à partir des
récupération API NetBackup.
Remarque : les utilisateurs qui disposent uniquement de cette
autorisation ne peuvent pas se connecter à l'interface utilisateur
Web.

Gérer les points de Permet de gérer les points de récupération disponibles pour un
récupération bien. Cette autorisation permet à l'utilisateur de restaurer, de copier
et de dupliquer un point de récupération, et de modifier la copie
principale d'une image. Ces fonctions ne sont actuellement
disponibles qu'à partir des API NetBackup.

Remarque : les utilisateurs qui disposent uniquement de cette


autorisation ne peuvent pas se connecter à l'interface utilisateur
Web.
Gestion du contrôle d’accès basé sur les rôles 25
Ajout d’un rôle personnalisé

Catégorie d’autorisation Autorisation Action permise par l’autorisation

Gestion de la sécurité Gérer les Gérez les paramètres de sécurité pour le serveur maître
paramètres de NetBackup. Ces paramètres ont des répercussions sur la
Permet à un utilisateur de
sécurité globaux communication avec les hôtes 8.0 et antérieurs, le mappage
visualiser des journaux
automatique des noms d’hôtes, le niveau de sécurité pour le
d’audit ou de gérer les
déploiement de certificat et la phrase de passe pour la reprise
paramètres de sécurité ou les
après incident.
certificats dans NetBackup.
Remarque : les utilisateurs qui disposent uniquement de cette
autorisation ne sont pas en mesure de se connecter à l’interface
utilisateur Web.

Gérer les clés Ajoutez, modifiez, affichez ou supprimez des clés d'API qui ont
d'API été créées pour les utilisateurs de NetBackup.

Gérer les certificats Gérez les certificats de sécurité NetBackup et affichez les détails
de certificat de l’autorité de certification externe pour les hôtes.
Pour les certificats NetBackup, cela inclut la possibilité de révoquer
un certificat, de créer un jeton de renouvellement afin de
renouveler un certificat ou de créer un nouveau jeton. Les
utilisateurs disposant de cette autorisation peuvent également
gérer les sessions utilisateur.

Afficher les Permet de consulter l’historique des connexions à NetBackup, les


journaux d’audit modifications apportées aux paramètres de sécurité, ou de voir
qui a parcouru ou restauré une image de sauvegarde. Permet
également d’afficher l’historique d’accès de l’utilisateur actuel.

Gérer Gérez les paramètres d'authentification des utilisateurs avec une


l’authentification carte à puce ou un certificat numérique. Les utilisateurs disposant
utilisateur de cette autorisation peuvent également gérer les comptes
d'utilisateur NetBackup verrouillés.

Afficher les clés Affichez les clés d'API créées pour les utilisateurs de NetBackup.
d'API Tout utilisateur de NetBackup peut afficher et gérer ses propres
clés.

Gestion de plan de Gérer des plans de Permet de créer, de modifier ou de supprimer des plans de
protection protection protection. Permet également d’abonner des biens à des plans
de protection.
Notez qu’un utilisateur peut
uniquement gérer ou Afficher les plans Permet d’afficher les plans de protection disponibles et d’abonner
sélectionner un plan de de protection des biens à un plan de protection.
protection auquel il a accès.
Gestion du contrôle d’accès basé sur les rôles 26
Ajout d’un rôle personnalisé

Catégorie d’autorisation Autorisation Action permise par l’autorisation

Contrôle d'accès basé sur Afficher les règles Permet d’afficher les règles d’accès configurées.
les rôles d’accès
Autorise un administrateur à Gérer les règles Permet de créer, de gérer ou de supprimer des règles d’accès.
créer les règles d'accès qui d’accès
déterminent les autorisations Permet de créer des rôles personnalisés et des groupes d’objets.
accordées à un utilisateur
pour une charge de travail ou
un bien spécifique, et pour
des plans de protection
dédiés.

Aucune récupération Accès instantané Permet de créer une image à accès instantané. Cette autorisation
active également les fonctions Afficher les points de
Autorise un utilisateur à
récupération et Afficher les biens.
exécuter un ou plusieurs
types de récupération. Remplacer les Permet à l'utilisateur de restaurer l'emplacement d'origine des
Notez que les utilisateurs biens biens. Sans cette autorisation, l'utilisateur doit restaurer les biens
peuvent uniquement afficher à un autre emplacement.
et récupérer les biens
Afficher les points Affiche les points de récupération disponibles pour un bien.
auxquels ils ont accès.
de récupération
Remarque : les utilisateurs qui disposent uniquement de cette
autorisation ne sont pas en mesure de se connecter à l’interface
utilisateur Web.

Restaurer les Restaurez des fichiers individuels à partir de l'image de


fichiers sauvegarde. Cette autorisation active également les fonctions
Afficher les points de récupération et Afficher les biens.

Récupérer/Restaurer Restaurez les données d'une image de sauvegarde à autre un


emplacement.

Télécharger des Permet de télécharger des fichiers individuels à partir d’un point
fichiers de montage à accès instantané. Cette autorisation active
également les fonctions Afficher les points de récupération et
Afficher les biens.

Restrictions associées aux rôles personnalisés


Lorsque vous créez des rôles personnalisés, notez ce qui suit :
■ Certaines autorisations sont seulement disponibles avec des rôles RBAC par
défaut ou pour un rôle personnalisé qui est configuré avec les API NetBackup.
■ Un utilisateur peut uniquement gérer les paramètres Hôtes s’il dispose du
rôle Administrateur de sécurité.
Gestion du contrôle d’accès basé sur les rôles 27
Modification ou suppression d'un rôle personnalisé

■ Un utilisateur peut uniquement gérer les alertes et les notifications et


afficher les Rapports d’utilisation s’il dispose du rôle Administrateur de
sauvegarde.
■ Un utilisateur avec le rôle Administrateur de sécurité dispose également
de certaines autorisations de « vue ». De cette façon, l’utilisateur peut
rechercher et ajouter des biens, des serveurs d’application et des plans de
protection à un groupe d’objets. Si vous souhaitez qu’un utilisateur avec un
rôle personnalisé puisse créer des règles d’accès, veillez à sélectionner les
autorisations d’affichage appropriées pour le rôle personnalisé.

■ Certaines autorisations individuelles n’ont pas de corrélation directe avec un


écran de l’interface utilisateur Web. Les utilisateurs qui tentent de se connecter,
mais qui disposent uniquement de ce type d’autorisation reçoivent un message
« Non autorisé ». Lorsque vous créez des rôles personnalisés, veillez à activer
le nombre minimal d’autorisations afin que l’utilisateur puisse se connecter à
l’interface utilisateur Web et l’utiliser.

Modification ou suppression d'un rôle


personnalisé
Vous pouvez modifier ou supprimer un rôle personnalisé pour modifier ou supprimer
des autorisations pour les utilisateurs disposant de ce rôle.

Modifier un rôle personnalisé

Remarque : Lorsque vous modifiez les autorisations associées à un rôle, ces


modifications s'appliquent à tous les utilisateurs auxquels ce rôle est affecté.

Pour modifier un rôle


1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Rôles.
3 Cliquez sur le rôle à modifier.
Notez que les recherches distinguent les majuscules des minuscules.
4 En bas à gauche, cliquez sur l'icône de verrouillage.
5 Modifiez les détails du rôle et cliquez sur Enregistrer.
Gestion du contrôle d’accès basé sur les rôles 28
À propos des groupes d'objets

Supprimer un rôle personnalisé

Remarque : Lorsque vous supprimez un rôle, les utilisateurs auxquels ce rôle est
affecté perdent les autorisations correspondantes.

Pour supprimer un rôle


1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Rôles.
3 Recherchez le rôle à supprimer et cochez la case correspondante.
Notez que les recherches distinguent les majuscules des minuscules.
4 Cliquez sur Supprimer > Supprimer.

À propos des groupes d'objets


Un groupe d'objets définit une combinaison de biens, de serveurs d'application ou
de plans de protection. Le rôle de l'utilisateur et le groupe d'objets constituent la
règle d'accès de l'utilisateur et déterminent les autorisations dont un utilisateur
dispose sur les objets appartenant au groupe d'objets.
Pour gérer des biens spécifiques ou les récupérer, l'utilisateur doit leur appliquer
une règle d'accès. Pour gérer des biens ou les abonner à des plans de protection,
l'utilisateur doit disposer d'une règle d'accès à ces plans. Pour gérer les informations
d'authentification de serveurs d'application spécifiques, l'utilisateur doit disposer
d'une règle d'accès incluant ces serveurs. Selon son rôle, l'utilisateur peut exécuter
les tâches suivantes :
■ Un administrateur de sécurité dispose des autorisations nécessaires pour tous
les objets dans tous les groupes d'objets. Un utilisateur avec ce rôle peut :
■ Afficher tous les biens
■ Afficher tous les serveurs d'application
■ Afficher tous les plans de protection

■ Un administrateur de sauvegardes peut gérer :


■ Les plans de protection qui sont inclus dans le groupe d'objets.
■ Les plans auxquels les biens du groupe d'objets sont abonnés.
■ Les travaux concernant les biens qui sont inclus dans le groupe d'objets.
■ Les informations d'authentification des serveurs d'application dans le groupe
d'objets.
Gestion du contrôle d’accès basé sur les rôles 29
Étapes de création de groupe d'objets

■ Les groupes de biens

■ Un administrateur de charge de travail peut :


■ Afficher les plans de protection qui sont inclus dans le groupe d'objets
■ Gérer les abonnements des biens aux plans dans le groupe d'objets
■ Récupérer des biens dans le groupe d'objets

Remarque : Les groupes d'objets peuvent également limiter les droits de création
de l'utilisateur. Par exemple, si un administrateur de sauvegarde ne dispose que
d'une seule règle d'accès qui lui permet d'accéder aux plans de protection contenant
le mot « finance », cet utilisateur ne peut créer que des plans de protection qui
contiennent le mot « finance ».

Étapes de création de groupe d'objets


Créez un groupe d'objets pour définir l'association de biens, des serveurs
d'application ou des plans de protection disponible pour les utilisateurs qui disposent
des autorisations pour ce groupe d'objets.

Tableau 2-4 Comment créer un groupe d'objets

Étape Action Description

1 Sur la gauche, cliquez sur Sécurité > RBAC.

2 Cliquez sur l'onglet Groupes d'objets, puis sur


Ajouter.

3 Indiquez le nom et la description du groupe d’objets. Vous pouvez inclure tout mot-clé décrivant le type
de biens dans le groupe ou la région dans laquelle
se trouvent les biens.

4 Configurez tous les biens que vous voulez ajouter Se reporter à "Sélection des biens pour un groupe
à ce groupe d'objets. d'objets" à la page 30.

Ajoutez les biens que les utilisateurs peuvent afficher


ou gérer, sous réserve que ces utilisateurs disposent
des autorisations ou du rôle RBAC requis. Par
exemple, ajoutez les biens dont l'administrateur de
charge de travail doit gérer la protection ou la
récupération.
Gestion du contrôle d’accès basé sur les rôles 30
Étapes de création de groupe d'objets

Étape Action Description

5 Configurez les serveurs d'application que vous Se reporter à "Sélection de serveurs d'application
voulez ajouter à ce groupe d'objets. pour un groupe d'objets" à la page 32.
Ajoutez les serveurs d'application que les utilisateurs
peuvent gérer, sous réserve que ces utilisateurs
disposent des autorisations ou du rôle RBAC requis.
Par exemple, ajoutez les serveurs d'application que
l'administrateur de sauvegarde doit gérer.

6 Configurez les plans de protection que vous voulez Se reporter à "Sélection de plans de protection pour
ajouter à ce groupe d'objets. un groupe d'objets" à la page 34.

Ajoutez les plans de protection que les utilisateurs


peuvent gérer, sous réserve que ces utilisateurs
disposent des autorisations ou du rôle RBAC requis.
Par exemple, ajoutez les plans de protection que
l'administrateur de sauvegarde doit gérer. Les
administrateurs de charges de travail peuvent
afficher ces plans et y abonner des biens.

7 Affichez l'aperçu des biens, des serveurs Se reporter à "Prévisualiser les objets d'un groupe
d'application ou des plans que vous avez configurés d'objets" à la page 34.
pour le groupe d'objets.

8 Cliquez sur Enregistrer.

Sélection des biens pour un groupe d'objets


Vous pouvez définir les biens de groupe d'objets des manières suivantes :
■ Toutes les charges de travail
■ Tous les biens cloud qui répondent au moins à une condition
■ Un serveur VMware ou un gestionnaire RHV spécifique et toutes ses machines
virtuelles
■ Un serveur VMware ou gestionnaire RHV spécifique et les machines virtuelles
qui répondent au moins à une condition
Vous pouvez également afficher un aperçu des biens qui sont inclus dans un groupe
d'objets. Se reporter à "Prévisualiser les objets d'un groupe d'objets" à la page 34.
Gestion du contrôle d’accès basé sur les rôles 31
Étapes de création de groupe d'objets

Toutes les charges de travail


Pour inclure tous les biens pour toutes les charges de travail
◆ Sélectionnez Accorder l'accès à tous pour inclure tous les biens disponibles
pour toutes les charges de travail.

Biens cloud
Pour inclure les biens cloud qui répondent au moins à une condition
1 Dans la section Biens, cliquez sur Ajouter une charge de travail et
sélectionnez Cloud.
2 Cliquez sur Ajouter une condition pour définir au moins une condition. Les
conditions sont sensibles à la casse.

Biens RHV
Pour inclure un serveur RHV spécifique et toutes ses machines virtuelles
1 Dans la section Biens, cliquez sur Ajouter une charge de travail et
sélectionnez RHV.
2 Cliquez sur Ajouter le gestionnaire RHV.
3 Sélectionnez le nom du gestionnaire RHV à inclure. Sinon, cliquez sur le nom
du gestionnaire RHV pour rechercher un serveur, un cluster ou un datacenter.
4 Par défaut, l'option Inclure toutes les machines virtuelles est activée, afin
d'inclure toutes les machines virtuelles de ce serveur VMware.

Biens VMware
Pour inclure un serveur VMware spécifique et toutes ses machines virtuelles
1 Dans la section Biens, cliquez sur Ajouter une charge de travail et
sélectionnez VMware.
2 Cliquez sur Ajouter un serveur VMware.
3 Sélectionnez le nom du serveur vCenter à inclure. Sinon, cliquez sur le nom
du serveur vCenter afin de rechercher un serveur, un cluster ou un datacenter.
4 Par défaut, l'option Inclure toutes les machines virtuelles est activée, afin
d'inclure toutes les machines virtuelles de ce serveur VMware.
Gestion du contrôle d’accès basé sur les rôles 32
Étapes de création de groupe d'objets

Pour inclure un serveur VMware spécifique et les machines virtuelles


sélectionnées pour ce serveur
1 Dans la section Biens, cliquez sur Ajouter une charge de travail et
sélectionnez VMware.
2 Cliquez sur Ajouter un serveur VMware.
3 Sélectionnez le nom du serveur vCenter à inclure. Sinon, cliquez sur le nom
du serveur vCenter afin de rechercher un serveur, un cluster ou un datacenter.
4 Désactivez Inclure toutes les machines virtuelles.
5 Cliquez sur Ajouter une condition pour définir au moins une condition. Les
conditions sont sensibles à la casse.
Pour définir plusieurs conditions, sélectionnez un opérateur ( AND ou OR ).
Dans l’exemple suivant, le groupe d’objets inclut les biens de la charge de
travail VMware qui appartiennent au cluster servercl02 sur le serveur VMware
abc.domain.com, et dont le nom affiché qui commence par accounting.

Sélection de serveurs d'application pour un groupe d'objets


Le groupe d'objets définit les serveurs d'application que l'utilisateur peut gérer.
Actuellement, les serveurs d'application traitent uniquement les charges de travail
VMware et RHV.
Vous pouvez afficher un aperçu des serveurs d'application qui sont inclus dans un
groupe d'objets.
Se reporter à "Prévisualiser les objets d'un groupe d'objets" à la page 34.
Pour inclure l'ensemble des serveurs d'application, dans toutes les charges
de travail
◆ Dans la section Serveurs d'application, sélectionnez Accorder l'accès à
tous.
Gestion du contrôle d’accès basé sur les rôles 33
Étapes de création de groupe d'objets

Pour inclure tous les serveurs d'application dans une charge de travail
spécifique
◆ Sous Serveurs d'application, cliquez sur Ajouter une condition, puis
sélectionnez le type de charge de travail à inclure.
Sélectionnez le type de serveur, l'opérateur et le type de la charge de travail.
Par exemple, sélectionnez Type de serveur > Est dans > RHV pour
sélectionner tous les serveurs d'application RHV.

Pour inclure des serveurs d'application spécifiques, appartenant à une charge


de travail spécifique
1 Sous Serveurs d'application, cliquez sur Ajouter une condition, puis
sélectionnez le type de charge de travail à inclure.
Sélectionnez le type de serveur, l'opérateur et le type de la charge de travail.
Par exemple, sélectionnez Type de serveur > Est dans > RHV pour
sélectionner tous les serveurs d'application RHV.
2 Cliquez sur Condition pour ajouter une ou plusieurs conditions, en fonction
du nom du serveur. Les conditions sont sensibles à la casse.
Par exemple, si vous voulez que les serveurs d'application commencent par
un nom spécifique pour une charge de travail spécifique.
3 Pour plusieurs conditions, utilisez l'option Sous-requête et sélectionnez
l'opérateur ( AND ou OR ).
Dans l'exemple suivant, le groupe d'objets inclut les serveurs d'application de
la charge de travail RHV dont le nom commence par RHVIT.
Gestion du contrôle d’accès basé sur les rôles 34
Étapes de création de groupe d'objets

Sélection de plans de protection pour un groupe d'objets


Les plans de protection inclus dans un groupe d'objets peuvent être affichés, ajoutés
ou gérés par l'utilisateur.
Il est également possible d'afficher l'aperçu des plans inclus dans un groupe d'objets.
Se reporter à "Prévisualiser les objets d'un groupe d'objets" à la page 34.
Pour inclure l'ensemble des serveurs d'application, dans toutes les charges
de travail
◆ Dans la section Plans de protection, sélectionnez Accorder l'accès à tous.
Pour inclure des plans de protection spécifiques
1 Sous Plans de protection, cliquez sur Ajouter une condition.
2 Sélectionnez les attributs de la condition. Les conditions sont sensibles à la
casse.
Pour définir plusieurs conditions, sélectionnez un opérateur ( AND ou OR ).
Dans l’exemple suivant, le groupe d’objets inclut les plans de protection dont
le nom contient finance.

Remarque : Dans cet exemple, les utilisateurs peuvent uniquement afficher,


ajouter ou gérer des plans de protection contenant le mot « finance ».

Prévisualiser les objets d'un groupe d'objets


Vous pouvez afficher un aperçu des biens, des serveurs d'application ou des plans
de protection associés à un groupe d'objets. Les utilisateurs ayant accès à ce
groupe d'objets peuvent visualiser ou gérer ces éléments dans le groupe d'objets.
L'aperçu inclut uniquement les biens, les serveurs ou les plans qui sont disponibles
lorsque vous affichez l'aperçu. Lorsque vous ajoutez ou supprimez des éléments
dans votre environnement ou dans les plans de l'interface utilisateur Web, le groupe
d'objets est modifié de manière dynamique.
Gestion du contrôle d’accès basé sur les rôles 35
Modification ou suppression d'un groupe d'objets

Pour afficher l'aperçu des biens ou des plans de protection pour un groupe
d'objets
1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Groupes d'objets.
3 Cliquez sur le nom du groupe d'objets que vous voulez modifier.
4 En regard de Biens, Serveurs d'application ou Plans de protection, cliquez
sur Aperçu.
5 Fermez le volet de l'aperçu.

Modification ou suppression d'un groupe d'objets


Vous pouvez modifier ou supprimer un groupe d'objets pour modifier ou supprimer
les biens, les serveurs d'application ou les plans de protection qu'il contient.

Modifier un groupe d'objets

Remarque : Lorsque vous modifiez un groupe d'objets, les modifications s'appliquent


à toutes les règles d'accès (et aux utilisateurs associés) qui contiennent ce groupe
d'objets.

Pour modifier un groupe d’objets


1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Groupes d'objets.
3 Cliquez sur le groupe d'objets que vous voulez modifier.
Notez que les recherches distinguent les majuscules des minuscules.
4 En bas à gauche, cliquez sur l'icône de verrouillage.
5 Modifiez le nom ou la description du groupe d'objets.
6 Modifiez les biens, les applications, les serveurs ou les plans de protection.
7 Cliquez sur Enregistrer.

Supprimer un groupe d'objets

Remarque : Lorsque vous supprimez un groupe d'objets, les modifications


s'appliquent à tous les utilisateurs qui y sont associés.
Gestion du contrôle d’accès basé sur les rôles 36
Ajout d’un accès utilisateur via des règles d’accès

Pour supprimer un groupe d’objets


1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Groupes d'objets.
3 Recherchez le groupe d'objets à supprimer et cochez la case correspondante.
Notez que les recherches distinguent les majuscules des minuscules.
4 Cliquez sur Supprimer > Supprimer.

Ajout d’un accès utilisateur via des règles d’accès


Dans l’interface utilisateur Web NetBackup, l’accès des utilisateurs à NetBackup
est régi par une ou plusieurs règles d’accès. Les règles d’accès sont composées
des éléments suivants :
■ Un utilisateur ou un groupe d'utilisateurs. Cet utilisateur ou groupe peut être
local ou appartenir à un domaine.
■ Un rôle, qui définit les autorisations dont dispose l’utilisateur.
Les autorisations de rôle déterminent uniquement les types d’actions qu’un
utilisateur peut réaliser. Le groupe d'objets détermine les droits d'accès de
l'utilisateur dans l'environnement.
■ Un groupe d’objets, qui définit les biens, les serveurs d’application ou les plans
de protection qu’un utilisateur peut afficher ou gérer.
Remarque : lorsque vous créez une règle d’accès pour un utilisateur disposant
du rôle Administrateur de sécurité, cet utilisateur a accès à tous les objets ou
biens.
Avant de pouvoir créer une règle d’accès, vous devez procéder comme suit :
■ Pour ajouter des utilisateurs de domaine, vous devez configurer le domaine
Active Directory (AD) ou LDAP avec NetBackup.
Utilisez la commande vssat pour configurer les domaines dans votre
environnement. Se reporter à "Ajout des domaines AD ou LDAP" à la page 40.
Les utilisateurs locaux n’ont pas besoin de cette configuration.
■ Déterminez le rôle que vous voulez octroyer à un utilisateur.
Se reporter à "Rôles RBAC par défaut dans NetBackup" à la page 19.
■ Déterminez les biens ou les serveurs d’application auxquels vous voulez qu’il
ait accès et sélectionnez les groupes d’objets appropriés. Sinon, créez les
groupes d’objets appropriés.
Se reporter à "Étapes de création de groupe d'objets" à la page 29.
Gestion du contrôle d’accès basé sur les rôles 37
Modification ou suppression de règles d'accès utilisateur

■ Les autorisations associées au rôle d’un utilisateur peuvent aussi être limitées
par les groupes d’objets auxquels l’utilisateur a accès. Se reporter à "Étapes
de création de groupe d'objets" à la page 29.
Pour attribuer des droits accès à un utilisateur
1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l’onglet Règles d’accès et cliquez sur Ajouter.
3 Saisissez un domaine et un nom d’utilisateur. Cliquez sur + pour valider cet
utilisateur.
Exemple :

Pour ce type Utilisez ce format Exemple


d’utilisateur

Utilisateur local username racine

Utilisateur de domaine DOMAIN\username WINDOWS\Administrator

4 Sélectionnez un rôle qui inclut les autorisations que vous voulez attribuer à
l’utilisateur.
5 Sélectionnez un groupe d’objets qui inclut les biens auxquels vous voulez que
l’utilisateur puisse accéder.
Un utilisateur disposant du rôle Administrateur de sécurité a accès à tous
les objets et à tous les biens. La seule sélection disponible pour ce rôle est
Tous les objets.
6 Entrez une description pour la règle d’accès et cliquez sur Enregistrer.

Modification ou suppression de règles d'accès


utilisateur
Si le rôle d'un utilisateur change dans votre organisation ou si vous devez modifier
ses droits d'accès aux biens dans l'environnement, vous disposez de plusieurs
possibilités :
■ Modifier une règle d'accès pour l'utilisateur et sélectionner un autre rôle RBAC
ou un autre groupe d'objets.
Se reporter à la section intitulée « Modifier la règle d'accès d'un utilisateur »
à la page 38.
Gestion du contrôle d’accès basé sur les rôles 38
Modification ou suppression de règles d'accès utilisateur

■ Si un rôle personnalisé est attribué à l'utilisateur, modifiez les autorisations


associées à ce rôle. Notez que cette opération modifie également les
autorisations de tous les autres utilisateurs associés à ce rôle.
Se reporter à "Modification ou suppression d'un rôle personnalisé" à la page 27.
■ Modifiez les paramètres du groupe d'objets qui déterminent les objets que
l'utilisateur peut afficher ou gérer. Notez que cette opération modifie également
les droits d'accès de tous les autres utilisateurs associés à ce groupe d'objets.
Se reporter à "Modification ou suppression d'un groupe d'objets" à la page 35.
■ Supprimer une règle d'accès pour un utilisateur afin qu'il ne dispose plus de ces
autorisations de rôle ou qu'il n'ait plus accès aux groupes d'objets définis dans
la règle.
Se reporter à la section intitulée « Supprimer une règle d'accès pour un
utilisateur » à la page 39.

Remarque : Les modifications apportées aux règles d'accès d'un utilisateur ne


sont pas affichées immédiatement dans l'interface utilisateur Web. Si une session
est active, l'utilisateur doit se déconnecter et se reconnecter pour que les
modifications s'appliquent. Un administrateur de sécurité NetBackup peut également
déconnecter des utilisateurs.
Se reporter à "Déconnecter une session utilisateur NetBackup" à la page 67.

Modifier la règle d'accès d'un utilisateur


Modifiez une règle d'accès pour changer les autorisations associées au rôle d'un
utilisateur ou les objets que l'utilisateur peut consulter ou gérer. Les modifications
apportées à une règle d'accès touchent uniquement l'utilisateur concerné.
Pour modifier la règle d'accès d'un utilisateur
1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Règles d'accès.
3 Cliquez sur le nom de l'utilisateur (qui est la règle d'accès associée à
l'utilisateur) que vous voulez modifier.
4 En bas à gauche, cliquez sur l'icône de verrouillage.
5 Sélectionnez un rôle ou un groupe d'objets différent.
6 Cliquez sur Enregistrer.
7 Répétez les étapes 3 à 6 pour modifier d'autres règles d'accès pour l'utilisateur.
Gestion du contrôle d’accès basé sur les rôles 39
Modification ou suppression de règles d'accès utilisateur

Supprimer une règle d'accès pour un utilisateur


Vous pouvez supprimer une règle d'accès d'un utilisateur pour révoquer les
autorisations associées à son rôle et ses droits d'accès au groupe d'objets indiqués
dans la règle. La suppression d'une règle d'accès touche uniquement l'utilisateur
configuré dans la règle. L'utilisateur conserve les autorisations et les droits d'accès
hérités des autres règles d'accès.
Pour supprimer une règle d'accès pour un utilisateur
1 Sur la gauche, cliquez sur Sécurité > RBAC.
2 Cliquez sur l'onglet Règles d'accès.
3 Localisez le nom de l'utilisateur et cochez la case correspondant à la règle
d'accès que vous voulez supprimer.
4 Cliquez sur Supprimer > Supprimer.
Chapitre 3
Ajout de domaines AD ou
LDAP
Ce chapitre traite des sujets suivants :

■ Ajout des domaines AD ou LDAP

Ajout des domaines AD ou LDAP


NetBackup RBAC dans l’interface utilisateur Web NetBackup prend en charge les
utilisateurs de domaine Active Directory (AD) ou Lightweight Directory Access
Protocol (LDAP). Pour pouvoir ajouter des règles d’accès pour les utilisateurs de
domaine, vous devez ajouter le domaine AD ou LDAP. Vous devez également
ajouter un domaine avant de configurer ce domaine pour l’authentification par carte
à puce.

Remarque : Assurez-vous que le compte utilisateur (dans l’option -m) dispose des
droits requis pour interroger le serveur AD ou LDAP.

Pour plus d’informations sur la commande vssat et sur ses options, consultez le
Guide de référence des commandes de NetBackup.
Ajout de domaines AD ou LDAP 41
Ajout des domaines AD ou LDAP

Pour ajouter un domaine AD ou LDAP


1 Connectez-vous au serveur maître en tant qu’administrateur ou utilisateur
racine.
2 Exécutez la commande suivante.

vssat addldapdomain -d DomainName -s server_URL -u user_base_DN -g group_base_DN


-t rfc2307 | msad -m admin_user_DN

Exemple d’ajout d’un domaine LDAP :

vssat addldapdomain -d nbudomain -s ldap://example.com -u "OU=Users,DC=example,DC=com"


-g "OU=Groups,DC=example,DC=com" -m "CN=TestUser,OU=Users,DC=example,DC=com" -t msad

3 Vérifiez que le domaine AD ou LDAP spécifié a été ajouté.


vssat validateprpl
Chapitre 4
Evénements de sécurité
et journaux d’audit
Ce chapitre traite des sujets suivants :

■ Affichage des événements de sécurité et des journaux d’audit

■ À propos de l'audit de NetBackup

Affichage des événements de sécurité et des


journaux d’audit
NetBackup effectue un audit des actions initiées par l’utilisateur dans un
environnement NetBackup afin de vous aider à déterminer qui a modifié quoi et
quand. Pour obtenir un rapport d’audit complet, utilisez la commande
nbauditreport. Se reporter à "Affichage du rapport d'audit détaillé NetBackup"
à la page 47.
Pour afficher les événements de sécurité et les journaux d’audit
1 Sur la gauche, sélectionnez Sécurité > Événements de sécurité.
2 Les options suivantes sont disponibles.
■ Cliquez sur Historique d’accès pour visualiser les utilisateurs ayant accédé
à NetBackup.
■ Cliquez sur Événements d’audit pour afficher les événements audités par
NetBackup. Ces événements incluent les modifications apportées aux
paramètres de sécurité, les certificats et les utilisateurs ayant parcouru ou
restauré des images de sauvegarde.
Evénements de sécurité et journaux d’audit 43
À propos de l'audit de NetBackup

À propos de l'audit de NetBackup


L'audit est activé par défaut sur les nouvelles installations. L'audit de NetBackup
peut être configuré directement sur un serveur maître NetBackup.
L'audit des opérations de NetBackup présente les avantages suivants :
■ En exploitant les journaux d'audit, les utilisateurs peuvent obtenir une idée
globale de l'administration en analysant les changements inattendus dans un
environnement NetBackup.
■ Conformité réglementaire.
L'enregistrement est conforme aux directives telles que celles définies par le
SOX (Sarbanes-Oxley Act).
■ Méthode permettant aux clients d'appliquer les politiques internes de gestion
des changements.
■ Aide pour le support de NetBackup lors du processus de résolution des
problèmes pour les clients.

NetBackup Audit Manager


NetBackup Audit Manager (nbaudit) s'exécute sur les serveurs maîtres et les
enregistrements d'audit sont mis à jour dans la base de données EMM (Enterprise
Media Manager).
L'administrateur peut rechercher les informations suivantes :
■ Quand une action s'est produite
■ Actions ayant échoué dans certaines situations
■ Les actions exécutées par un utilisateur spécifique
■ Les actions qui ont été exécutées dans une zone de contenu spécifique
■ Modifications de la configuration d'audit
Tenez compte des points suivants :
■ L'enregistrement d'audit tronque toutes les entrées qui incluent plus de
4 096 caractères. (Par exemple, le nom de la politique.)
■ L'enregistrement d'audit tronque les ID d'image de restauration de plus de
1 024 caractères.

Actions auditées par NetBackup


NetBackup enregistre les actions suivantes lancées par l'utilisateur.
Evénements de sécurité et journaux d’audit 44
À propos de l'audit de NetBackup

Actions du moniteur d'activité Annuler, interrompre, reprendre, redémarrer ou supprimer n'importe quel
type de travail crée un enregistrement d'audit.

Alertes et notifications par e-mail Si aucune alerte ou notification par e-mail ne peut être envoyée pour les
paramètres de configuration NetBackup. Par exemple, la configuration du
serveur SMTP et la liste des codes d'état exclus des alertes.

Actions sur les biens La suppression d'un bien, tel qu'un serveur vCenter, lors du processus de
nettoyage des biens avec l'API de base de données de biens est auditée et
est consignée.

La création, la modification ou la suppression d'un groupe de biens, ainsi


que toute action effectuée sur un groupe de biens pour lequel un utilisateur
n'est pas autorisé sont auditées et consignées.

Echec d'autorisation L'échec d'autorisation est audité lorsque vous utilisez l'interface utilisateur
web de NetBackup, les API NetBackup ou l'audit amélioré.

Informations de catalogue Ces informations sont les suivantes :

■ Vérification et expiration d'images.


■ Lisez les demandes envoyées pour les données d'utilisation frontale.

Gestion des certificats Création, révocation, renouvellement et déploiement de certificats NetBackup


et défaillances de certificats NetBackup spécifiques.

Échecs de vérification de certificat (CVF) Tentatives de connexion ayant échoué impliquant des erreurs de handshake
SSL, des certificats révoqués ou des échecs de validation de nom d’hôte.

Pour les échecs de validation de certificat (CVF) qui impliquent des


négociations SSL et des certificats révoqués, l'horodatage correspond à la
publication de l'enregistrement d'audit sur le serveur maître (au lieu de l'échec
de la vérification du certificat individuel). Un enregistrement d'audit de CVF
est un groupe d'événements CVF sur une période de temps. Les détails de
l'enregistrement indiquent les heures de début et de fin de la période ainsi
que le nombre total de CVF qui se sont produits pendant cette période.

Pools de disques et actions de pools de Ajout, suppression ou mise à jour de pools de disques ou de volumes.
volume

Opérations de mise en suspens Création, modification et suppression d'opérations de mise en suspens.

Base de données hôte Opérations liées à la base de données hôte NetBackup.

Tentatives de connexion Toute tentative de connexion ayant abouti ou échoué pour la console
d'administration de NetBackup, l'interface utilisateur web de NetBackup ou
les API NetBackup.

Actions Politiques Ajout, suppression ou mise à jour d'attributs de politique, de clients, de


planifications et de listes de sélection de sauvegarde.
Evénements de sécurité et journaux d’audit 45
À propos de l'audit de NetBackup

Actions utilisateur de restauration et de Toutes les opérations de restauration et de navigation sur le contenu des
navigation sur les images images (bplist) qu'un utilisateur effectue sont auditées avec l'identité de
l'utilisateur.

Configuration de la sécurité Informations relatives aux modifications apportées aux paramètres de


configuration de sécurité.

Démarrage d'un travail de restauration NetBackup n’effectue pas d’audit quand d’autres types de travaux
commencent. Par exemple, NetBackup n’effectue pas d’audit quand un
travail de sauvegarde commence.

Démarrer et arrêter NetBackup Audit Le démarrage et l'arrêt du gestionnaire nbaudit font toujours l'objet d'un
Manager (nbaudit). audit, même si l'audit est désactivé.

Actions de politique de cycle de vie du Les tentatives de création, de modification ou de suppression d’une politique
stockage de cycle de vie du stockage (SLP) sont auditées et consignées. Cependant,
l’activation et l’interruption d’une SLP à l’aide de la commande nbstlutil
ne sont pas auditées. Ces opérations ne sont auditées que lorsqu’elles sont
lancées à partir d’une API ou de l’interface utilisateur graphique NetBackup.

Actions de serveurs de stockage Ajout, suppression ou mise à jour de serveurs de stockage.

Actions d'unités de stockage Ajouter, supprimer ou mettre à jour les unités de stockage.
Remarque : Les actions liées aux politiques de cycle de vie du stockage
ne sont pas auditées.

Gestion de jeton Création, suppression et nettoyage de jetons et défaillances d'émission de


jeton spécifiques.

Gestion des utilisateurs Ajout et suppression d’utilisateurs d’audit amélioré dans le mode
correspondant.

Action de l'utilisateur qui ne parvient pas Si l'audit est activé mais que l'utilisateur ne parvient pas à créer un
à créer un enregistrement d'audit enregistrement d'audit, l'échec du service d'audit est enregistré dans le
journal nbaudit. Le code d’état 108 de NetBackup est renvoyé (l’action
a réussi mais l’audit a échoué). La console d’administration
NetBackup ne renvoie pas de code d’état de sortie 108 lorsque l’audit
échoue.

Actions pour lesquelles NetBackup n'effectue pas d'audit


Les actions suivantes ne sont pas enregistrées et ne s'affichent pas dans le rapport
d'audit :

Toute action qui a échoué. NetBackup consigne les actions en échec dans les journaux d’erreurs
NetBackup. Les actions qui ont échoué ne s'affichent pas dans les rapports
d'audit parce qu'elles ne contribuent pas à modifier l'état du système
NetBackup.
Evénements de sécurité et journaux d’audit 46
À propos de l'audit de NetBackup

Effet d'un changement de configuration Les résultats d'une modification apportée à la configuration de NetBackup
ne sont pas contrôlés. Par exemple, la création d'une politique est enregistrée
dans le rapport d'audit, mais les travaux qui résultent de cette création ne
le sont pas.

L'état d'achèvement d'un travail de Tandis que l'acte de lancer un travail de restauration est audité, l'état
restauration lancé manuellement d'achèvement du travail n'est pas audité, ni celui de n'importe quel autre
type de travail, qu'il soit lancé manuellement ou pas. L’état d’achèvement
est affiché dans le moniteur d’activité (console d’administration) et dans les
travaux (interface utilisateur Web).

Actions lancées en interne NetBackup-des actions internes lancées ne sont pas auditées. Par exemple
les actions comme la suppression planifiée d'images expirées, les
sauvegardes planifiées ou le nettoyage périodique de base de données
d'images ne sont pas enregistrées.

Opérations de restauration Certaines opérations sont exécutées en plusieurs étapes. Par exemple, la
création d'un serveur de stockage MSDP se déroule en plusieurs étapes.
Chaque étape correctement exécutée est auditée. L'échec de l'une des
étapes produit une restauration ou, autrement dit, les étapes correctement
exécutées peuvent avoir besoin d'être annulées. L'enregistrement d'audit
ne contient pas les détails des opérations de restauration.

Actions de propriétés d'hôte Les modifications apportées à l'aide des commandes bpsetconfig ou
nbsetconfig, ou la propriété équivalente de l'utilitaire Propriétés de l'hôte,
ne sont pas auditées. Les modifications apportées directement au fichier
bp.conf ou au registre ne sont pas auditées.

Identité d'utilisateur dans le rapport d'audit


Le rapport d’audit indique l’identité de l’utilisateur qui a exécuté une action spécifique.
L’identité complète de l’utilisateur inclut le nom d’utilisateur et le domaine ou le nom
d’hôte associé à l’utilisateur authentifié. L’identité d’un utilisateur apparaît dans le
rapport d’audit comme suit :
■ Les événements d’audit incluent toujours l’identité complète de l’utilisateur. Les
utilisateurs racine et les administrateurs sont connectés en tant que
"root@hostname" ou "administrator@hostname".
■ Dans NetBackup 8.1.2 et versions ultérieures, les événements de navigation
parmi les images et de restauration d’image incluent toujours l’ID de l’utilisateur
dans l’événement d’audit. NetBackup 8.1.1 et versions antérieures consigne
ces événements sous "root@hostname" ou "administrator@hostname".
■ Toutes les opérations qui ne nécessitent pas d’informations d’authentification
ou la connexion de l’utilisateur sont consignées sans identité d’utilisateur.
Evénements de sécurité et journaux d’audit 47
À propos de l'audit de NetBackup

Période de conservation d'audit et sauvegardes de catalogue des


enregistrements d'audit
Les enregistrements d'audit sont conservés en tant qu'éléments de la base de
données NetBackup, aussi longtemps que la période de conservation l'exige. Les
enregistrements sont sauvegardés en tant qu'élément de la sauvegarde de catalogue
de NetBackup. Le service d'audit de NetBackup (nbaudit) supprime les
enregistrements d'audit obsolètes une fois toutes les 24 heures à 12 h 00 (heure
locale).
Par défaut, les enregistrements d'audit sont conservés pendant 90 jours. Utilisez
une valeur de durée de conservation d'audit de 0 (zéro) pour conserver les
enregistrements d'audit.
Pour configurer la période de conservation d'audit
1 Connectez-vous au serveur maître.
2 Ouvrez le répertoire suivant :
Windows : install_path\NetBackup\bin\admincmd
UNIX : /usr/openv/netbackup/bin/admincmd
3 Entrez la commande suivante :

nbemmcmd -changesetting -AUDIT_RETENTION_PERIOD


number_of_days -machinename masterserver

Où number_of_days indique le délai de conservation (en jours) des


enregistrements d'audit pour le rapport d'audit.
Dans l'exemple suivant, les enregistrements des actions de l'utilisateur doivent
être conservés pendant 30 jours avant d'être supprimés.

nbemmcmd -changesetting -AUDIT_RETENTION_PERIOD 30


-machinename server1

Pour vous assurer que tous les enregistrements d'audit sont inclus dans une
sauvegarde de catalogue, configurez une fréquence de sauvegarde de
catalogue inférieure ou égale à -AUDIT_RETENTION_PERIOD.

Affichage du rapport d'audit détaillé NetBackup


Pour obtenir les informations détaillées des événements d'audit de NetBackup,
utilisez la commande nbauditreport.
Evénements de sécurité et journaux d’audit 48
À propos de l'audit de NetBackup

Pour afficher l'intégralité du rapport d'audit


1 Connectez-vous au serveur maître.
2 Entrez la commande suivante pour afficher le rapport d'audit résumé.
Windows : install_path\NetBackup\bin\admincmd\nbauditreport
UNIX : /usr/openv/netbackup/bin/admincmd\nbauditreport

Ou bien, exécutez la commande en utilisant les options suivantes.

-sdate Indique la date et l'heure de début des données à


afficher dans le rapport.
<"MM/DD/YY
[HH:[MM[:SS]]]">

-edate Date et heure de fin des données de rapport.

<"MM/DD/YY
[HH:[MM[:SS]]]">

-ctgy catégorie Catégorie de l'action de l'utilisateur qui a été


exécutée. Les catégories, telles que POLICY
peuvent contenir plusieurs sous-catégories, telles
que des planifications ou des sélections de
sauvegarde. Toutes les modifications apportées
à une sous-catégorie sont répertoriées comme
modification de la catégorie principale.

Consultez le Guide des commandes de NetBackup


pour connaître les options de -ctgy.

-user Utilisez-la pour indiquer le nom de l'utilisateur pour


qui vous souhaitez afficher les informations d'audit.
<username[:domainname]>

-fmt DETAIL L'option -fmt DETAIL affiche une liste complète


des informations d'audit. Par exemple, lorsqu'une
politique est modifiée, cette vue affiche le nom de
l'attribut, l'ancienne valeur et la nouvelle valeur.
Cette option inclut les sous-options suivantes :

■ [-notruncate] . Affiche les anciennes et


les nouvelles valeurs d'un attribut modifié sur
différentes lignes dans la section de détails du
rapport.
■ [-pagewidth <NNN>] . Définit la largeur de
page dans la section informative du rapport
d'audit.
Evénements de sécurité et journaux d’audit 49
À propos de l'audit de NetBackup

-fmt PARSABLE L'option -fmt PARSABLE affiche les mêmes


informations que le rapport DETAIL, mais dans un
format analysable. Le rapport utilise le caractère
de barre verticale (|) comme séparateur entre les
données du rapport d'audit. Cette option inclut les
sous-options suivantes :

■ [-order <DTU|DUT|TDU|TUD|UDT|UTD>].
Indiquez l'ordre de présentation des
informations.
D (Description)
T (Timestamp, horodatage)
U (Utilisateur)

3 Le rapport d'audit contient les détails suivants :

DESCRIPTION Détails de l'action qui a été exécutée.

USER Identité de l'utilisateur qui a exécuté l'action.

Se reporter à "Identité d'utilisateur dans le rapport d'audit"


à la page 46.

TIMESTAMP Heure à laquelle l'action a été exécutée.

Les informations suivantes s'affichent uniquement si vous utilisez les options -fmt
DETAIL ou -fmt PARSABLE.

CATEGORY Catégorie de l'action de l'utilisateur qui a été exécutée.

ACTION Action qui a été exécutée.

RAISON Raison pour laquelle l'action a été exécutée. Une valeur s'affiche
si une raison a été spécifiée pour l'opération qui a créé la
modification.

DETAILS Décompte de toutes les modifications, avec les anciennes et les


nouvelles valeurs.

Exemple de rapport d'audit :

[root@server1 admincmd]# ./nbauditreport


TIMESTAMP USER DESCRIPTION
04/20/2018 11:52:43 root@server1 Policy 'test_pol_1' was saved but no changes were detected
04/20/2018 11:52:42 root@server1 Schedule 'full' was added to Policy 'test_pol_1'
04/20/2018 11:52:41 root@server1 Policy 'test_pol_1' was saved but no changes were detected
04/20/2018 11:52:08 root@server1 Policy 'test_pol_1' was created
Evénements de sécurité et journaux d’audit 50
À propos de l'audit de NetBackup

04/20/2018 11:17:00 root@server1 Audit setting(s) of master server 'server1' were modified

Audit records fetched: 5


Chapitre 5
Gestion des hôtes
Ce chapitre traite des sujets suivants :

■ Affichage des informations sur l’hôte NetBackup

■ Approbation ou ajout de mappages pour un hôte ayant plusieurs noms

■ Suppression de mappages pour un hôte ayant plusieurs noms

■ Réinitialisation des attributs d’un hôte

Affichage des informations sur l’hôte NetBackup


L’application Hôtes contient les détails sur les hôtes NetBackup de votre
environnement, y compris le serveur maître, les serveurs de médias et les clients.
Seuls les hôtes ayant un ID d’hôte sont affichés dans cette liste. Le nom d’hôte
indique le nom de client NetBackup d’un hôte, également appelé nom principal de
l’hôte.

Remarque : NetBackup détecte les adresses IP dynamiques (hôtes DHCP ou


Dynamic Host Configuration Protocol) et les affecte à un ID d’hôte. Vous devez
supprimer ces affectations.

Pour les certificats basés sur le nom de l’hôte pour les hôtes NetBackup 8.0 et de
version antérieure, reportez-vous à la version correspondante du Guide de sécurité
et de chiffrement de NetBackup.
Pour afficher les informations sur l’hôte NetBackup
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
Examinez l’état de sécurité et tous les autres noms d’hôte associés à cet hôte.
2 Pour obtenir des détails supplémentaires sur cet hôte, cliquez sur son nom.
Gestion des hôtes 52
Approbation ou ajout de mappages pour un hôte ayant plusieurs noms

Approbation ou ajout de mappages pour un hôte


ayant plusieurs noms
Un hôte NetBackup peut avoir plusieurs noms. Par exemple, un nom et un nom
public, ou un nom raccourci et un nom de domaine complet (FQDN). Un hôte
NetBackup peut également partager un nom avec d’autres hôtes NetBackup de
l’environnement. NetBackup détecte également les noms de clusters, y compris le
nom d’hôte et le nom de domaine complet (FQDN) du nom virtuel du cluster.
Le nom de client NetBackup d’un hôte (ou nom principal) est automatiquement
associé à son ID d’hôte lors du déploiement du certificat. En outre, pour assurer
une bonne communication entre les hôtes NetBackup, NetBackup mappe
automatiquement tous les hôtes avec leurs autres noms d’hôte.
Cependant, cette méthode est moins sûre. À la place, vous pouvez désactiver ce
paramètre et choisir d’approuver manuellement les mappages de noms d’hôte
individuels découverts par NetBackup.
Se reporter à "Désactivation du mappage automatique des noms d’hôte NetBackup"
à la page 70.

Approuver les mappages d’hôtes découverts par


NetBackup
NetBackup découvre automatiquement de nombreux noms partagés ou de clusters
associés aux hôtes NetBackup dans votre environnement. Utilisez l’onglet
Mappages à approuver pour examiner et accepter les noms d’hôtes appropriés.
Lorsque l’option Mapper automatiquement l’ID d’hôte NetBackup aux noms
d’hôtes est activée, la liste Mappages à approuver affiche uniquement les
mappages en conflit avec d’autres hôtes.

Remarque : Vous devez mapper tous les noms d’hôte disponibles avec l’ID d’hôte
associé. Si vous déployez un certificat sur un hôte à l’aide d’un nom d’hôte qui n’est
pas mappé avec l’ID d’hôte associé, NetBackup déploie un nouveau certificat et
un génère un nouvel ID pour l’hôte, car NetBackup le considère comme un hôte
différent.

Pour approuver les noms d’hôtes découverts par NetBackup


1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Cliquez sur l’onglet Mappages à approuver.
3 Cliquez sur le nom de l’hôte.
Gestion des hôtes 53
Approbation ou ajout de mappages pour un hôte ayant plusieurs noms

4 Passez en revue les mappages de l’hôte et cliquez sur Approuver si vous


voulez utiliser le mappage découvert.
Cliquez sur Rejeter si vous ne voulez pas associer le mappage à l’hôte.
Les mappages rejetés ne réapparaissent dans la liste que lorsque NetBackup
les détecte à nouveau.

5 Cliquez sur Enregistrer.

Mapper les autres noms d’hôtes avec un hôte


Vous pouvez mapper manuellement l’hôte NetBackup avec ses noms d’hôte. Ce
mappage garantit que NetBackup peut communiquer avec l’hôte en utilisant l’autre
nom.
Pour mapper un nom d’hôte à un hôte
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Sélectionnez l’hôte et cliquez sur Gérer les mappages.
3 Cliquez sur Ajouter.
4 Saisissez le nom d'hôte ou l'adresse IP et cliquez sur Enregistrer.
5 Cliquez sur Fermer.

Mapper des noms partagés ou de clusters avec plusieurs


hôtes NetBackup
Ajoutez un nom partagé ou de cluster si plusieurs hôtes NetBackup partagent le
même nom. Par exemple, un nom de cluster.
Notez les éléments suivants avant de créer un mappage de nom partagé ou de
cluster :
■ NetBackup découvre automatiquement de nombreux noms partagés ou de
clusters. Passez en revue l’onglet Mappages à approuver.
■ Si un mappage est partagé entre un hôte sécurisé et un hôte non sécurisé,
NetBackup suppose que le nom de mappage est sécurisé. Cependant, si au
moment de l’exécution, le mappage correspond à un hôte non sécurisé, la
connexion échoue. Par exemple, supposons que vous disposez d’un cluster à
deux nœuds avec un hôte sécurisé (nœud 1) et un hôte non sécurisé (nœud 2).
Dans ce cas, la connexion échoue si le nœud 2 est le nœud actif.
Gestion des hôtes 54
Suppression de mappages pour un hôte ayant plusieurs noms

Pour mapper des noms partagés ou de clusters avec plusieurs hôtes


NetBackup
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Sélectionnez l’hôte et cliquez sur Ajouter des mappages partagés ou de
cluster.
3 Saisissez un nom d’hôte partagé ou de cluster que vous voulez mapper
avec deux hôtes NetBackup ou plus.
Par exemple, entrez un nom de cluster associé à des hôtes NetBackup dans
votre environnement.
4 Sur la droite, cliquez sur Ajouter.
5 Sélectionnez les hôtes NetBackup que vous voulez ajouter et cliquez sur
Ajouter à la liste.
Par exemple, si vous avez saisi un nom de cluster à l’étape 3, sélectionnez
les nœuds du cluster ici.
6 Cliquez sur Enregistrer.

Suppression de mappages pour un hôte ayant


plusieurs noms
Vous pouvez supprimer les mappages de nom d’hôte ajoutés automatiquement
par NetBackup ou les mappages de nom d’hôte que vous avez ajoutés
manuellement pour un hôte. Si vous supprimez un mappage, l’hôte n’est plus
reconnu avec ce nom mappé. Si vous supprimez un mappage partagé ou de cluster,
il est possible que l’hôte ne puisse pas parvenir à communiquer avec d’autres hôtes
utilisant ce nom de cluster ou ce nom partagé.
Si vous rencontrez des problèmes avec un hôte et ses mappages, rétablissez les
attributs de l’hôte. Cependant, cette opération rétablit d’autres attributs, tels que
l’état de communication de l’hôte. Se reporter à "Réinitialisation des attributs d’un
hôte" à la page 55.
Pour supprimer un nom d’hôte découvert par NetBackup
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Sélectionnez le nom de l’hôte.
3 Cliquez sur Gérer les mappages.
4 Localisez le mappage à supprimer et cliquez sur Supprimer > Enregistrer.
Gestion des hôtes 55
Réinitialisation des attributs d’un hôte

Réinitialisation des attributs d’un hôte


Dans certains cas, vous devez réinitialiser les attributs d’un hôte pour autoriser une
bonne communication avec l’hôte. La réinitialisation est plus courante lorsque la
version 8.0 ou une version antérieure de NetBackup est restaurée pour un hôte.
Après la mise à niveau sur une version antérieure, le serveur maître ne peut pas
communiquer avec le client, car l’état de communication pour le client est toujours
défini en mode sécurisé. Une réinitialisation met à jour l’état de la communication
afin d’indiquer qu’elle est en mode non sécurisé.
Lorsque vous réinitialisez les attributs d’un hôte :
■ NetBackup restaure les informations de mappage des noms d’hôtes pour l’ID
d’hôte, l’état de la communication de l’hôte, etc. Cette opération ne réinitialise
pas l’ID, le nom ou les certificats de sécurité de l’hôte.
■ L’état de la connexion est défini sur non sécurisé. Lorsque le serveur maître
communique de nouveau avec l’hôte, l’état de la connexion est mis à jour en
conséquence.
Pour réinitialiser les attributs d’un hôte
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Sélectionnez l’hôte et cliquez sur Réinitialiser les attributs > Réinitialiser.
3 Indiquez si vous voulez communiquer de manière non sécurisée avec les
hôtes 8.0 et antérieurs.
Lorsque l’option Activer la communication avec les hôtes NetBackup 8.0
et versions antérieures est activée dans les paramètres de sécurité globaux,
NetBackup peut communiquer avec un hôte 8.0 ou antérieur. Cette option est
activée par défaut.

Remarque : Si vous avez utilisé par erreur l’option Réinitialiser les attributs de
l’hôte, vous pouvez annuler les modifications en redémarrant le service bpcd.
Sinon, les attributs de l’hôte sont automatiquement mis à jour avec les valeurs
appropriées au bout de 24 heures.
Chapitre 6
Gestion des certificats de
sécurité
Ce chapitre traite des sujets suivants :

■ À propos de la gestion de la sécurité et des certificats dans NetBackup

■ ID d’hôtes NetBackup et certificats basés sur l’ID de l’hôte

■ Gestion des certificats de sécurité NetBackup

■ Utilisation des certificats de sécurité externes avec NetBackup

À propos de la gestion de la sécurité et des


certificats dans NetBackup
NetBackup utilise les certificats de sécurité pour authentifier les hôtes NetBackup.
Ces certificats doivent être conformes à la norme ICP (Infrastructure à clés
publiques) X.509. Avec NetBackup 8.1, 8.1.1 et 8.1.2, les certificats NetBackup
sont utilisés pour assurer une communication sécurisée. Dans NetBackup 8.2 et
versions ultérieures, vous pouvez utiliser des certificats NetBackup ou des certificats
externes.
Les certificats NetBackup sont fournis par défaut aux hôtes. Le serveur maître
NetBackup agit en tant qu’autorité de certification et gère la liste de révocation des
certifications (CRL). Le niveau de sécurité du déploiement de certificat
NetBackup détermine le mode de déploiement des certificats sur les hôtes
NetBackup et la fréquence à laquelle la CRL est mise à jour sur chaque hôte. Si
un hôte a besoin d’un nouveau certificat (le certificat d’origine étant arrivé à
expiration ou révoqué), vous pouvez utiliser un jeton d’autorisation NetBackup pour
renouveler le certificat.
Gestion des certificats de sécurité 57
ID d’hôtes NetBackup et certificats basés sur l’ID de l’hôte

Les certificats externes sont signés par une autorité de certification externe
approuvée. Lorsque vous configurez NetBackup de sorte à utiliser des certificats
externes, le serveur maître, les serveurs de médias et les clients dans le domaine
NetBackup utilisent les certificats externes pour assurer une communication
sécurisée. En outre, le serveur Web NetBackup utilise ces certificats pour assurer
la communication entre l’interface utilisateur Web NetBackup et les hôtes NetBackup.
Le déploiement de certificats externes, la mise à jour ou le remplacement des
certificats externes et la gestion de CRL pour l’autorité de certification externe sont
gérés en dehors de NetBackup.
Pour plus d'informations sur les certificats externes, consultez le Guide de sécurité
et de chiffrement NetBackup.

Certificats de sécurité pour les hôtes NetBackup 8.1 et


versions ultérieures
Les hôtes NetBackup version 8.1 et ultérieure peuvent communiquer entre eux
uniquement en mode sécurisé. En fonction de la version de NetBackup, ces hôtes
doivent avoir un certificat émis par l’autorité de certification NetBackup ou par une
autre autorité de certification. Un certificat NetBackup utilisé pour les communications
sécurisées sur un canal de contrôle est également appelé certificat basé sur l’ID
d’hôte.

Certificats de sécurité pour les hôtes NetBackup 8.0


Tous les certificats de sécurité que NetBackup a générés pour les hôtes version
8.0 sont désormais appelés certificats basés sur un nom d'hôte. Pour plus de
détails, consultez le Guide de sécurité et de chiffrement NetBackup.

ID d’hôtes NetBackup et certificats basés sur l’ID


de l’hôte
Chaque hôte dans un domaine NetBackup a une identité unique qui correspond à
un ID d’hôte ou un identifiant unique universel (UUID). L’ID de l’hôte est utilisé dans
de nombreuses opérations pour identifier l’hôte. NetBackup crée et gère les ID
d’hôte comme suit :
■ Gère la liste sur le serveur maître de tous les ID d’hôte qui ont des certificats.
■ Génère aléatoirement des ID d’hôte. Ces ID ne sont liés à aucune propriété du
matériel.
■ Par défaut, assigne aux hôtes NetBackup 8.1 et de versions ultérieures un
certificat basé sur l'ID d'hôte qui est signé par l'autorité de certification
NetBackup.
Gestion des certificats de sécurité 58
Gestion des certificats de sécurité NetBackup

■ L’ID de l’hôte ne change pas, même si le nom d’hôte change.


Dans certains cas, un hôte peut avoir plusieurs ID d’hôte :
■ Si un hôte obtient des certificats de plusieurs domaines NetBackup, il dispose
de plusieurs ID d’hôte qui correspondent à chaque domaine NetBackup.
■ Lorsque le serveur maître est configuré comme membre d’un cluster, chaque
nœud du cluster reçoit un ID d’hôte unique. Un ID de l’hôte supplémentaire est
attribué pour le nom virtuel. Par exemple, si le cluster du serveur maître est
composé de N nœuds, le nombre d’ID d’hôte alloués pour le cluster de serveur
maître est de N + 1.

Gestion des certificats de sécurité NetBackup


Remarque : Ces informations s’appliquent uniquement aux certificats de sécurité
qui sont émis par l’autorité de certification NetBackup. Des informations
supplémentaires sont disponibles pour les certificats externes.
Se reporter à "Utilisation des certificats de sécurité externes avec NetBackup"
à la page 63.

Vous pouvez afficher et révoquer des certificats NetBackup ou afficher les


informations sur l’autorité de certification NetBackup. Des informations plus détaillées
sur la gestion des certificats NetBackup et le déploiement de certificat sont
disponibles dans le Guide de sécurité et de chiffrement de NetBackup.

Afficher un certificat NetBackup


Vous pouvez afficher les détails de tous les certificats NetBackup d’ID d’hôte qui
ont été fournis aux hôtes NetBackup. Seuls les hôtes NetBackup 8.1 et versions
ultérieures ont des certificats basés sur l’ID d’hôte. La liste des certificats n’inclut
pas les hôtes NetBackup 8.0 ou versions antérieures.
Pour afficher un certificat NetBackup
1 Sur la gauche, sélectionnez Sécurité > Certificats.
2 Cliquez sur Certificats NetBackup.
3 Pour afficher les détails de certificat supplémentaires pour un hôte, cliquez sur
le nom d’un hôte.
Gestion des certificats de sécurité 59
Gestion des certificats de sécurité NetBackup

Révoquer un certificat de l’autorité de certification


NetBackup
Lorsque vous révoquez un certificat basé sur l'ID d'hôte NetBackup, NetBackup
révoque tous les autres certificats associés à cet hôte. NetBackup ne fait plus
confiance à l’hôte et ne peut plus communiquer avec les autres hôtes NetBackup.
Vous pouvez révoquer un certificat basé sur l’ID d’hôte sous différentes conditions.
Par exemple, si vous détectez que la sécurité du client a été compromise, si un
client est mis hors service ou si NetBackup est désinstallé de l’hôte. Un certificat
révoqué ne peut pas être utilisé pour communiquer avec les services Web de
serveur maître.
Les bonnes pratiques de sécurité suggèrent que l’administrateur de sécurité
NetBackup révoque explicitement les certificats pour tout hôte n’étant plus actif.
Cette action doit être effectuée, que le certificat soit toujours déployé sur l’hôte ou
qu’il ait été supprimé de l’hôte.

Remarque : Ne révoquez pas de certificat du serveur maître. Dans le cas contraire,


les opérations NetBackup pourraient échouer.

Pour révoquer un certificat de l’autorité de certification NetBackup


1 Sur la gauche, sélectionnez Sécurité > Certificats.
2 Cliquez sur Certificats NetBackup.
3 Cliquez sur le nom de l’hôte qui est associé au certificat que vous voulez
révoquer.
4 Cliquez sur Révoquer le certificat > Oui.

Afficher la signature et les détails de l’autorité de


certification NetBackup
Pour une communication sécurisée avec l’autorité de certification NetBackup sur
le serveur maître, l’administrateur de l’hôte doit ajouter le certificat de l’autorité de
certification au magasin d’approbation d’un hôte spécifique. L’administrateur du
serveur maître doit fournir la signature du certificat de l’autorité de certification à
l’administrateur de l’hôte spécifique.
Pour afficher la signature et les détails de l’autorité de certification NetBackup
1 Sur la gauche, sélectionnez Sécurité > Certificats.
2 Cliquez sur Certificats NetBackup.
3 Dans la barre d’outils, cliquez sur Autorité de certification.
Gestion des certificats de sécurité 60
Gestion des certificats de sécurité NetBackup

4 Recherchez les informations sur la signature et cliquez sur Copier vers le


presse-papiers.
5 Fournissez ces informations sur la signature à l’administrateur de l’hôte.

Réémission d'un certificat NetBackup

Remarque : Ces informations s’appliquent uniquement aux certificats de sécurité


qui sont émis par l’autorité de certification NetBackup. Les certificats externes
doivent être gérés en dehors de NetBackup.

Dans certains cas, le certificat NetBackup d’un hôte n’est plus valide. Par exemple,
si un certificat a expiré, a été révoqué ou perdu. Vous pouvez renouveler un certificat
avec ou sans jeton de renouvellement.
Un jeton de renouvellement est un type de jeton d’autorisation qui est utilisé pour
renouveler un certificat NetBackup. Lorsque vous renouvelez un certificat, l’hôte
obtient un ID d’hôte identique à celui du certificat d’origine.

Renouveler un certificat NetBackup avec un jeton


Si vous devez renouveler le certificat NetBackup d’un hôte de manière plus sûre,
vous pouvez créer un jeton d’autorisation que l’administrateur de l’hôte doit utiliser
pour obtenir un nouveau certificat. Ce jeton de renouvellement conserve le même
ID d’hôte que le certificat d’origine. Le jeton peut être utilisé une seule fois. Dans
la mesure où il est associé à un hôte spécifique, le jeton ne peut pas être utilisé
pour demander des certificats pour des hôtes supplémentaires.
Pour renouveler le certificat NetBackup d’un hôte
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Cliquez sur Certificats NetBackup.
3 Sélectionnez l’hôte et cliquez sur Générer un jeton de renouvellement.
4 Entrez un nom de jeton et indiquez la durée de validité du jeton.
5 Cliquez sur Créer.
6 Cliquez sur Copier vers le presse-papiers puis cliquez sur Fermer.
7 Partagez le jeton d’autorisation afin que l’administrateur de l’hôte puisse obtenir
un nouveau certificat.
Gestion des certificats de sécurité 61
Gestion des certificats de sécurité NetBackup

Autoriser un renouvellement de certificat NetBackup sans


jeton
Dans certains scénarios, comme la restauration de client BMR, vous devez
renouveler un certificat sans jeton de renouvellement. L’option Autoriser le
renouvellement automatique de certificat vous permet de renouveler un certificat
sans avoir recours à un jeton.
Pour autoriser un renouvellement de certificat NetBackup sans jeton
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Cliquez sur Certificats NetBackup.
3 Sélectionnez l’hôte et cliquez sur Autoriser le renouvellement automatique
de certificat > Autoriser.
Une fois que vous avez défini l’option Autoriser le renouvellement
automatique de certificat, vous pouvez renouveler un certificat sans jeton
dans les 48 heures qui suivent (paramètre par défaut). Une fois cette fenêtre
de renouvellement expirée, l’opération de renouvellement de certificat requiert
un jeton de renouvellement.
4 Indiquez à l’administrateur de l’hôte que vous avez autorisé un renouvellement
de certificat NetBackup sans jeton.

Refuser la possibilité de renouveler un certificat NetBackup


sans jeton
Quand vous autorisez un renouvellement de certificat NetBackup sans jeton, vous
pouvez révoquer cette possibilité avant l’expiration du délai de renouvellement. Par
défaut, ce délai est de 48 heures.
Pour refuser la possibilité de renouveler un certificat NetBackup sans jeton
1 Sur la gauche, sélectionnez Sécurité > Hôtes.
2 Cliquez sur Certificats NetBackup.
3 Sélectionnez l’hôte et cliquez sur Révoquer le renouvellement automatique
de certificat > Refuser.

Gestion des jetons d’autorisation de certificat NetBackup

Remarque : Ces informations s’appliquent uniquement aux certificats de sécurité


qui sont émis par l’autorité de certification NetBackup. Les certificats externes
doivent être gérés en dehors de NetBackup.
Gestion des certificats de sécurité 62
Gestion des certificats de sécurité NetBackup

Selon le niveau de sécurité pour le déploiement de certificat NetBackup, vous


devrez peut-être utiliser un jeton d’autorisation afin d’émettre un nouveau certificat
NetBackup pour un hôte. Vous pouvez créer un jeton lorsque cette opération est
nécessaire. Vous pouvez également rechercher et copier un jeton si vous en avez
de nouveau besoin. Vous pouvez nettoyer ou supprimer les jetons lorsqu’ils ne
sont plus nécessaires.
Pour renouveler un certificat, un jeton de renouvellement est requis dans la plupart
des cas. Un jeton de renouvellement est associé à l’ID d’hôte.

Créer un jeton d’autorisation


Selon le niveau de sécurité du déploiement de certificat NetBackup, un jeton
d’autorisation peut être requis pour un hôte NetBackup non maître afin d’obtenir
un certificat NetBackup basé sur l’ID d’hôte. L’administrateur NetBackup du serveur
maître génère le jeton et le partage avec l’administrateur de l’hôte non-maître. Cet
administrateur peut alors déployer le certificat sans la présence de l’administrateur
du serveur maître.
Ne créez pas de jeton d’autorisation pour un hôte NetBackup dont le certificat actuel
a été perdu, est endommagé ou a expiré, et qui présente donc un état non valide.
Dans ce cas, un jeton de renouvellement doit être utilisé.
Se reporter à "Réémission d'un certificat NetBackup" à la page 60.
Pour créer un jeton d’autorisation
1 Sur la gauche, sélectionnez Sécurité > Jetons.
2 Dans le coin supérieur droit, cliquez sur Ajouter.
3 Indiquez les informations suivantes pour le jeton :
■ Nom de jeton
■ Nombre maximal d’utilisations du jeton
■ Durée de validité du jeton

4 Cliquez sur Créer.

Pour rechercher et copier une valeur de jeton


d’autorisation
Vous pouvez afficher les détails des jetons que vous avez créés et les copier pour
une utilisation ultérieure.
Gestion des certificats de sécurité 63
Utilisation des certificats de sécurité externes avec NetBackup

Pour rechercher et copier une valeur de jeton d’autorisation


1 Sur la gauche, sélectionnez Sécurité > Jetons.
2 Sélectionnez le nom du jeton dont vous voulez afficher les détails.
3 En haut à droite, cliquez sur Afficher le jeton, puis sur l'icône Copier vers le
presse-papiers.

Nettoyer les jetons


Utilisez l’utilitaire Nettoyer les jetons pour supprimer les jetons de la base de
données de jetons qui ont expiré ou qui ont atteint le nombre maximal autorisé
d’utilisations.
Pour nettoyer les jetons
1 Sur la gauche, sélectionnez Sécurité > Jetons.
2 Cliquez sur Nettoyer > Oui.

Supprimez un jeton
Vous pouvez supprimer un jeton avant son expiration ou avant d’atteindre le nombre
maximal d’utilisations autorisé.
Pour supprimer un jeton
1 Sur la gauche, sélectionnez Sécurité > Jetons.
2 Sélectionnez le nom des jetons à supprimer.
3 Dans le coin supérieur droit, cliquez sur Supprimer.

Utilisation des certificats de sécurité externes


avec NetBackup
NetBackup 8.2 prend en charge les certificats de sécurité qui sont émis par une
autorité de certification externe. Les certificats externes et la liste de révocation
des certificats d'une autorité de certification externe doivent être gérés en dehors
de NetBackup. L'onglet Certificats externes affiche les informations relatives aux
hôtes NetBackup 8.1 et versions ultérieures dans le domaine et indique s'ils utilisent
ou non des certificats externes.
Se reporter à "Affichage des informations de certificats externes pour les hôtes
NetBackup dans le domaine" à la page 64.
Avant d'afficher les informations sur les certificats externes dans Certificats >
Certificats externes, vous devez en premier lieu configurer le serveur maître et
Gestion des certificats de sécurité 64
Utilisation des certificats de sécurité externes avec NetBackup

le serveur Web NetBackup pour qu'ils utilisent des certificats externes. Pour en
savoir plus, consultez le Guide de sécurité et de chiffrement de NetBackup.

Affichage des informations de certificats externes pour les hôtes


NetBackup dans le domaine

Remarque : Pour pouvoir consulter les informations du certificat externe, vous


devez configurer NetBackup pour ce type de certificat. Pour en savoir plus, consultez
le Guide de sécurité et de chiffrement NetBackup.

Lorsque vous ajoutez des certificats externes à des hôtes dans le domaine de
NetBackup, utilisez le tableau de bord Certificats externes pour suivre les hôtes
qui requièrent votre attention. Afin de prendre en charge les certificats externes,
les hôtes doivent être mis à niveau et inscrits avec un certificat externe.
Pour afficher les informations de certificat externe pour les hôtes
1 Sur la gauche, sélectionnez Sécurité > Certificats.
2 Cliquez sur Certificats externes.
Outre les informations sur les hôtes et les détails des certificats externes des hôtes,
les informations suivantes sont incluses :
■ La colonne État du certificat NetBackup indique si un hôte inclut également
un certificat NetBackup.
■ Le tableau de bord Certificat externe contient les informations suivantes pour
les hôtes NetBackup 8.1 et versions supérieures :
■ Nombre total d’hôtes. Nombre total d’hôtes. Les hôtes doivent être en ligne
et pouvoir communiquer avec le serveur maître NetBackup.
■ Hôtes avec des certificats. Nombre d’hôtes incluant un certificat externe
valide inscrit auprès du serveur maître NetBackup.
■ Hôtes sans certificats. L’hôte prend en charge les certificats externes, mais
n’inclut pas de certificat externe inscrit. Sinon, une mise à niveau vers
NetBackup 8.2 est requise pour l'hôte (applicable aux versions 8.1, 8.1.1 ou
8.1.2). Le total de l'option Mise à niveau de NetBackup requise inclut
également tous les hôtes qui ont été réinitialisés ou ceux pour lesquels la
version de NetBackup est inconnue. Les hôtes NetBackup 8.0 et versions
antérieures n’utilisent pas de certificats de sécurité et ne sont pas mentionnés
ici.
■ Expiration du certificat. Les hôtes dont le certificat externe a expiré ou arrive
à expiration.
Gestion des certificats de sécurité 65
Utilisation des certificats de sécurité externes avec NetBackup

Affichage des détails sur un certificat externe de l’hôte


Vous pouvez afficher les informations d'un certificat d'hôte émis par une autorité
de certification externe.
Pour afficher les détails sur un certificat externe de l’hôte
1 Sur la gauche, sélectionnez Sécurité > Certificats.
2 Cliquez sur Certificats externes.
La liste des certificats externes s’affiche pour le serveur maître.
3 Pour afficher les détails de certificat supplémentaires pour un hôte, cliquez sur
le nom d’un hôte.
Chapitre 7
Gestion des sessions
utilisateur
Ce chapitre traite des sujets suivants :

■ Afficher un message lorsque les utilisateurs se connectent

■ Activer le nombre maximal de tentatives de connexion et les paramètres de


délai d'inactivité pour les sessions utilisateur

■ Déconnecter une session utilisateur NetBackup

■ Déverrouiller un utilisateur de NetBackup

Afficher un message lorsque les utilisateurs se


connectent
Vous pouvez afficher un message ou une bannière de connexion lorsque les
utilisateurs se connectent à la console d'administration, au client ou à l'interface
Web de NetBackup. Une bannière différente peut être configurée pour tout serveur
maître, serveur de médias ou client. Ce message permet également de demander
à l'utilisateur d'accepter les conditions générales avant de se connecter.
Ces paramètres sont gérés actuellement dans la console d'administration
NetBackup, dans la section Propriétés de l'hôte > nom d'hôte > Configuration
de la bannière de connexion. Pour en savoir plus, consultez le Guide de
l'administrateur NetBackup, Volume I.
Gestion des sessions utilisateur 67
Activer le nombre maximal de tentatives de connexion et les paramètres de délai d'inactivité pour les sessions
utilisateur

Activer le nombre maximal de tentatives de


connexion et les paramètres de délai d'inactivité
pour les sessions utilisateur
Vous pouvez activer et personnaliser l'expiration des sessions utilisateur et le
nombre maximal de tentatives de connexion de NetBackup. Les paramètres que
vous choisissez s'appliquent à la console d'administration et à l'interface utilisateur
Web de NetBackup.
Ces paramètres sont gérés actuellement dans la console d'administration
NetBackup, dans Propriétés de l'hôte > serveur_maître > Paramètres de compte
d'utilisateur. Pour en savoir plus, consultez le Guide de l'administrateur NetBackup,
Volume I.

Déconnecter une session utilisateur NetBackup


Si vous devez réaliser des interventions de sécurité ou de maintenance, vous avez
la possibilité de déconnecter de façon sélective les sessions utilisateur de
NetBackup. Par défaut, les sessions utilisateur sont automatiquement déconnectées
après 10 minutes d'inactivité.
Les paramètres de temporisation sont gérés au moyen de la console d'administration
NetBackup, accessible dans la section Propriétés de l'hôte > serveur_maître >
Paramètres de compte d'utilisateur. Pour en savoir plus, consultez le Guide de
l'administrateur NetBackup, Volume I. Par défaut, un compte d'utilisateur reste
verrouillé pendant 24 heures uniquement. Vous pouvez modifier cette durée à l'aide
du paramètre Durée du verrouillage de compte.
Pour déconnecter une session utilisateur
1 Dans la partie gauche, sélectionnez Sécurité > Sessions utilisateur.
2 Cliquez sur Sessions actives.
3 Sélectionnez la session utilisateur à déconnecter.
4 Cliquez sur Arrêter la session.

Pour déconnecter toutes les sessions utilisateur


1 Dans la partie gauche, sélectionnez Sécurité > Sessions utilisateur.
2 Cliquez sur Sessions actives.
3 Cliquez sur Arrêter toutes les sessions.
Gestion des sessions utilisateur 68
Déverrouiller un utilisateur de NetBackup

Déverrouiller un utilisateur de NetBackup


Vous pouvez afficher les comptes utilisateur qui sont actuellement verrouillés en
dehors de NetBackup et déverrouiller un ou plusieurs utilisateurs.
Les paramètres de verrouillage de compte sont gérés à partir de la console
d'administration NetBackup, dans la section Propriétés de l'hôte >
serveur_maître > Paramètres de compte d'utilisateur. Pour en savoir plus,
consultez le Guide de l'administrateur NetBackup, Volume I. Remarque : un compte
d'utilisateur reste uniquement verrouillé pendant le temps spécifié par le paramètre
Durée du verrouillage de compte.
Pour déverrouiller un compte utilisateur
1 Dans la partie gauche, sélectionnez Sécurité > Sessions utilisateur.
2 Cliquez sur Utilisateurs verrouillés.
3 Sélectionnez le compte utilisateur à déverrouiller.
4 Cliquez sur Déverrouiller.

Pour déverrouiller tous les comptes utilisateur


1 Dans la partie gauche, sélectionnez Sécurité > Sessions utilisateur.
2 Cliquez sur Utilisateurs verrouillés.
3 Cliquez sur Déverrouiller tous les utilisateurs.
Chapitre 8
Gestion des paramètres
de sécurité du serveur
maître
Ce chapitre traite des sujets suivants :

■ Autorité de certification pour la communication sécurisée

■ Désactivation de la communication avec les hôtes NetBackup 8.0 et antérieurs

■ Désactivation du mappage automatique des noms d’hôte NetBackup

■ À propos des niveaux de sécurité de déploiement de certificat NetBackup

■ Sélection d’un niveau de sécurité pour le déploiement de certificat NetBackup

■ Définition d’une phrase de passe pour la reprise après incident

Autorité de certification pour la communication


sécurisée
Dans les paramètres de sécurité globaux, les informations sur l’ autorité de
certification indiquent les types d’autorités de certification pris en charge par le
domaine NetBackup. Ouvrez Sécurité > Sécurité globale pour afficher ces
paramètres.
Les hôtes NetBackup dans le domaine peuvent utiliser des certificats comme suit :
■ Certificats NetBackup.
Par défaut, les certificats NetBackup sont déployés sur le serveur maître et ses
clients.
Gestion des paramètres de sécurité du serveur maître 70
Désactivation de la communication avec les hôtes NetBackup 8.0 et antérieurs

■ Certificats externes.
Vous pouvez configurer NetBackup de sorte à communiquer uniquement avec
les hôtes qui utilisent un certificat externe. Requiert la mise à niveau d'un hôte
vers la version 8.2 ou version ultérieure, ainsi que l'installation et l'inscription
d'un certificat externe sur cet hôte. Dans ce cas, NetBackup ne communique
pas avec les hôtes qui utilisent des certificats NetBackup. Cependant, vous
pouvez activer l’option Activer la communication avec les hôtes
NetBackup 8.0 et versions antérieures pour communiquer avec les hôtes qui
utilisent NetBackup 8.0 (ou une version antérieure).
■ Certificats NetBackup et certificats externes.
Avec cette configuration, NetBackup communique avec les hôtes qui utilisent
un certificat NetBackup ou un certificat externe. Si un hôte utilise les deux types
de certificats, NetBackup utilise le certificat externe pour la communication.

Désactivation de la communication avec les hôtes


NetBackup 8.0 et antérieurs
Par défaut, NetBackup autorise la communication avec les hôtes NetBackup 8.0
et antérieurs présents dans l’environnement. Cependant, cette communication est
peu sûre. Pour accroître la sécurité, procédez à la mise à niveau de tous vos hôtes
vers la version actuelle de NetBackup et désactivez ce paramètre. Cette opération
garantit une communication sécurisée entre les hôtes NetBackup. Si vous utilisez
Auto Image Replication (AIR), vous devez mettre à niveau le serveur maître
approuvé pour la réplication d’image vers NetBackup 8.1 ou une version ultérieure.
Pour communiquer avec un serveur OpsCenter, ce paramètre doit être activé.
Pour désactiver la communication avec les hôtes NetBackup 8.0 et antérieurs
1 En haut à droite, sélectionnez Sécurité > Sécurité globale.
2 Désactivez l’option Activer la communication avec les hôtes NetBackup 8.0
et versions antérieures.
3 Cliquez sur Enregistrer.

Désactivation du mappage automatique des noms


d’hôte NetBackup
Pour une communication réussie entre les hôtes NetBackup, tous les noms d’hôte
et adresses IP appropriés doivent être mappés vers les ID d’hôte respectifs. Utilisez
l’option Mapper automatiquement l’ID d’hôte NetBackup aux noms d’hôtes
pour mapper automatiquement l’ID d’hôte avec les noms d’hôte correspondants
Gestion des paramètres de sécurité du serveur maître 71
À propos des niveaux de sécurité de déploiement de certificat NetBackup

(et les adresses IP) ou désactivez-la pour permettre à l’administrateur de sécurité


NetBackup de vérifier manuellement les mappages avant de les approuver.
Pour désactiver le mappage automatique des noms d’hôte NetBackup
1 En haut à droite, cliquez sur Paramètres > Sécurité globale.
2 Désactivez l’option Mapper automatiquement l’ID d’hôte NetBackup aux
noms d’hôtes.
3 Cliquez sur Enregistrer.

À propos des niveaux de sécurité de déploiement


de certificat NetBackup
Les niveaux de sécurité pour le déploiement de certificat sont spécifiques des
certificats signés par l'autorité de certification NetBackup. Si le serveur web
NetBackup n'est pas configuré pour utiliser les certificats NetBackup pour les
communications sécurisées, les niveaux de sécurité ne sont pas accessibles.
Le niveau de déploiement du certificat NetBackup détermine les vérifications qui
sont effectuées avant que l'autorité de certification NetBackup n'émette un certificat
pour un hôte NetBackup. Il détermine également la fréquence d'actualisation de la
liste de révocation des certifications (CRL) NetBackup sur l'hôte.
Les certificats NetBackup sont déployés sur des hôtes pendant l'installation (une
fois que l'administrateur de l'hôte confirme la signature de serveur maître) ou avec
la commande nbcertcmd. Choisissez un niveau de déploiement correspondant aux
contraintes de sécurité de votre environnement NetBackup.

Remarque : Pendant le déploiement du certificat NetBackup sur un client NAT,


vous devez fournir un jeton d'autorisation, quel que soit le niveau de sécurité de
déploiement de certificats défini sur le serveur maître. En effet, le serveur maître
ne peut pas résoudre le nom d'hôte sur l'adresse IP d'où provient la demande.
Pour plus d'informations sur les clients NAT dans NetBackup, consultez le Guide
de l'administrateur NetBackup, volume I.
Gestion des paramètres de sécurité du serveur maître 72
À propos des niveaux de sécurité de déploiement de certificat NetBackup

Tableau 8-1 Description des niveaux de sécurité de déploiement de certificats


NetBackup

Niveau de Description Actualisation de la liste de


sécurité révocation des certifications

Très élevé Un jeton d'autorisation est nécessaire pour chaque nouvelle La liste de révocation des
demande de certificat NetBackup. certifications qui est présente sur
l'hôte est actualisée toutes les heures.

Elevé (par défaut) Aucun jeton d'autorisation n'est requis si l'hôte est connu La liste de révocation des
du serveur maître. Un hôte est considéré comme étant certifications présente sur l'hôte est
connu du serveur maître si l'hôte se trouve dans les entités actualisée toutes les 4 heures.
suivantes :

1 L'hôte est répertorié pour l'une des options suivantes


dans le fichier de configuration NetBackup (Registre
Windows ou fichier bp.conf sous UNIX) :
■ APP_PROXY_SERVER
■ DISK_CLIENT
■ ENTERPRISE_VAULT_REDIRECT_ALLOWED
■ MEDIA_SERVER
■ NDMP_CLIENT
■ SERVER
■ SPS_REDIRECT_ALLOWED
■ TRUSTED_MASTER
■ VM_PROXY_SERVER

Pour plus d'informations sur les options de


configuration de NetBackup, consultez le Guide de
l'administrateur NetBackup, Volume I.

2 Si l'hôte est répertorié sous un nom de client dans le


fichier altnames (ALTNAMESDB_PATH).

3 L'hôte apparaît dans la base de données EMM du


serveur maître.

4 Au moins une image de catalogue du client existe.


L'image ne doit pas être antérieure à 6 mois.

5 Le client figure dans au moins une politique de


sauvegarde.

6 Le client est un client hérité. Il s'agit d'un client qui a


été ajouté à l'aide des propriétés d'hôte Attributs
client.
Gestion des paramètres de sécurité du serveur maître 73
Sélection d’un niveau de sécurité pour le déploiement de certificat NetBackup

Niveau de Description Actualisation de la liste de


sécurité révocation des certifications

Moyen Les certificats sont émis sans jeton d'autorisation si le La liste de révocation des
serveur maître peut résoudre le nom d'hôte sur l'adresse certifications présente sur l'hôte est
IP d'où la demande provient. actualisée toutes les 8 heures.

Sélection d’un niveau de sécurité pour le


déploiement de certificat NetBackup
NetBackup offre plusieurs niveaux de sécurité pour le déploiement de certificat
NetBackup. Le niveau de sécurité détermine les vérifications de sécurité que
l’autorité de certification NetBackup doit effectuer avant d’émettre un certificat à un
hôte NetBackup. Il détermine également la fréquence d’actualisation de la liste de
révocation des certifications (CRL) pour l’autorité de certification NetBackup sur
l’hôte.
Plus de détails sont disponibles sur les niveaux de sécurité, le déploiement de
certificat NetBackup et la CRL NetBackup :
■ Se reporter à "À propos des niveaux de sécurité de déploiement de certificat
NetBackup" à la page 71.
■ Consultez le Guide de sécurité et de chiffrement de NetBackup.
Pour sélectionner un niveau de sécurité pour le déploiement de certificat
NetBackup
1 En haut de la page, cliquez sur Paramètres > Sécurité globale.
2 Cliquez sur Communication sécurisée.
Gestion des paramètres de sécurité du serveur maître 74
Définition d’une phrase de passe pour la reprise après incident

3 Sélectionnez un niveau de sécurité pour Niveau de sécurité pour le


déploiement de certificat NetBackup.
Si vous choisissez d’utiliser des certificats NetBackup, ceux-ci sont déployés
sur des hôtes pendant l’installation, après confirmation de la signature du
serveur maître par l’administrateur de l’hôte. Le niveau de sécurité détermine
si un jeton d’autorisation est requis ou non pour un hôte.

Très élevée NetBackup requiert un jeton d’autorisation pour chaque nouvelle


demande de certificat NetBackup.

Elevé (par défaut) NetBackup ne requiert pas de jeton d’autorisation si l’hôte est
connu par le serveur maître, ce qui signifie que l’hôte apparaît
dans un fichier de configuration NetBackup, la base de données
EMM ou une politique de sauvegarde, ou que l’hôte est un client
hérité.

Moyen NetBackup émet des certificats NetBackup sans jeton


d’autorisation si le serveur maître peut résoudre le nom d’hôte sur
l’adresse IP d’où la demande provient.

4 Cliquez sur Enregistrer.

Définition d’une phrase de passe pour la reprise


après incident
Pendant une sauvegarde de catalogue, NetBackup crée un package de reprise
après incident et chiffre la sauvegarde avec une phrase de passe que vous
définissez.
Consultez les informations à propos des paramètres de reprise après incident dans
le Guide de sécurité et de chiffrement de NetBackup.
Pour définir une phrase de passe pour la reprise après incident
1 En haut de la page, cliquez sur Paramètres > Sécurité globale.
2 Cliquez sur Reprise après incident.
3 Entrez et confirmez la phrase de passe.
4 Cliquez sur Enregistrer.
Chapitre 9
Création et utilisation des
clés d’API
Ce chapitre traite des sujets suivants :

■ À propos des clés d'API

■ Gérer les clés d'API

■ Utiliser une clé d'API avec les API REST de NetBackup

■ Afficher les clés d'API

À propos des clés d'API


Une clé d'API NetBackup est un jeton pré-authentifié qui identifie un utilisateur
NetBackup dans les API RESTful NetBackup. L'utilisateur peut utiliser la clé d'API
dans un en-tête de requête d'API lorsqu'une API NetBackup requiert une
authentification. NetBackup audite les opérations qui sont effectuées avec cette
clé en utilisant l'identité complète de l'utilisateur.

Tableau 9-1 Comment les utilisateurs peuvent-ils gérer et afficher les clés
d'API à l'aide de l'interface utilisateur Web et des API

Utilisateur Rôle ou autorisations Créer et gérer Afficher les clés Interfaces


RBAC les clés d'API d'API

Administrateur de sécurité Rôle Administrateur de Tous les Tous les Interface utilisateur
NetBackup sécurité utilisateurs utilisateurs Web, API

Utilisateur RBAC de Gérer les clés d'API Tous les Tous les Interface utilisateur
NetBackup utilisateurs utilisateurs Web, API
Création et utilisation des clés d’API 76
Gérer les clés d'API

Utilisateur Rôle ou autorisations Créer et gérer Afficher les clés Interfaces


RBAC les clés d'API d'API

Utilisateur RBAC de Afficher les clés d'API Libre-service Tous les Interface utilisateur
NetBackup utilisateurs Web, API

Autre utilisateur authentifié de Aucun rôle RBAC ou Libre-service Libre-service API


NetBackup autorisation de clé d'API

Informations supplémentaires
Se reporter à "Identité d'utilisateur dans le rapport d'audit" à la page 46.
Se reporter à "Ajout d’un accès utilisateur via des règles d’accès" à la page 36.
Consultez le Guide de sécurité et de chiffrement NetBackup pour plus d'informations
sur l'utilisation des clés d'API avec la commande bpnbat.

Gérer les clés d'API


Les administrateurs de sécurité ou les utilisateurs de NetBackup disposant
d'autorisations pour gérer les clés d'API peuvent utiliser l'interface utilisateur Web
de NetBackup pour ajouter, modifier, supprimer ou afficher les clés qui sont
associées à l'ensemble des utilisateurs de NetBackup. Tout utilisateur authentifié
de NetBackup peut afficher et gérer ses propres clés d'API en utilisant l'API de
NetBackup, s'il ne dispose pas d'autorisations RBAC.
Se reporter à "Ajout d’un accès utilisateur via des règles d’accès" à la page 36.

Ajouter une clé d'API


Vous pouvez créer des clés d'API pour les utilisateurs NetBackup authentifiés (les
groupes ne sont pas pris en charge). Les clés d'API dédiées ne peuvent être créées
qu'une seule fois et ne peuvent pas être recréées. Chaque clé d'API est associée
à une valeur unique et à une étiquette.
Remarque : vous ne pouvez associer qu'une seule clé d'API à un utilisateur à la
fois. Si un utilisateur nécessite une nouvelle clé d'API, vous devez supprimer les
clés actives ou expirées de cet utilisateur.
Pour ajouter une clé d'API
1 Dans la partie gauche, sélectionnez Sécurité > Clés d'API.
2 Dans le coin supérieur droit, cliquez sur Ajouter.
3 Entrez le Nom d'utilisateur pour lequel vous souhaitez créer la clé d'API.
Création et utilisation des clés d’API 77
Utiliser une clé d'API avec les API REST de NetBackup

4 Précisez la durée de validité de la clé d'API, à compter de la date d'aujourd'hui.


NetBackup calcule la date d'expiration et l'affiche dessous.
5 Cliquez sur Ajouter.
6 Pour copier la clé d'API, cliquez sur Copier vers le presse-papiers.
Enregistrez-la en lieu sûr jusqu'à ce que vous puissiez la fournir à l'utilisateur.
Lorsque vous cliquez sur Fermer, la clé ne pourra plus être récupérée. Si cette
clé d'API remplace la clé précédente de l'utilisateur, ce dernier doit mettre à
jour tous les scripts, et autres éléments pertinents, pour tenir compte de la
nouvelle clé d'API.
7 Cliquez sur Fermer.

Modifier la clé d'API


Vous pouvez modifier la date d'expiration de toute clé d'API active. Lorsqu'une clé
d'API expire, l'ancienne clé de l'utilisateur doit être supprimée et une nouvelle clé
doit être créée.
Pour modifier une clé d'API
1 Dans la partie gauche, sélectionnez Sécurité > Clés d'API.
2 Sélectionnez la clé d'API et cliquez sur Modifier.
3 Prenez note de la date d'expiration de cette clé et prolongez-la en fonction des
besoins.
4 Cliquez sur Enregistrer.

Supprimer une clé d'API


Vous pouvez supprimer une clé d'API si vous ne souhaitez pas que l'utilisateur y
accède ou si cette clé n'est plus active. La suppression d'une clé d'API est définitive.
L'utilisateur associé ne pourra plus utiliser cette clé pour l'authentification ou avec
les API de NetBackup.
Pour supprimer une clé d'API
1 Dans la partie gauche, sélectionnez Sécurité > Clés d'API.
2 Sélectionnez la clé d'API et cliquez sur Supprimer > Supprimer.

Utiliser une clé d'API avec les API REST de


NetBackup
Lorsqu'une clé est créée, l'utilisateur peut transférer cette clé dans les en-têtes de
demande d'API. Exemple :
Création et utilisation des clés d’API 78
Afficher les clés d'API

curl -X GET https://masterservername.domain.com/netbackup/admin/jobs/5 \


-H 'Accept: application/vnd.netbackup+json;version=3.0' \
-H 'Authorization: <API key value>'

Afficher les clés d'API


Les administrateurs de sécurité ou les utilisateurs de NetBackup autorisés à afficher
les clés d'API peuvent afficher les clés qui sont associées à tous les utilisateurs de
NetBackup. Tout utilisateur authentifié de NetBackup peut afficher et gérer sa propre
clé d'API à l'aide des API de NetBackup si cet utilisateur ne dispose pas des
autorisations RBAC.
Pour afficher les clés d'API
◆ Dans la partie gauche, sélectionnez Sécurité > Clés d'API.
Chapitre 10
Configuration de
l’authentification par carte
à puce
Ce chapitre traite des sujets suivants :

■ Configuration de l’authentification utilisateur avec des cartes à puce ou des


certificats numériques

■ Modifier la configuration pour l'authentification par carte à puce

■ Ajout ou suppression d’un certificat de l’autorité de certification utilisé pour


l’authentification par carte à puce

■ Désactivation ou désactivation temporaire de l’authentification par carte à puce

Configuration de l’authentification utilisateur avec


des cartes à puce ou des certificats numériques
NetBackup prend en charge l’authentification des utilisateurs de domaine Active
Directory (AD) ou LDAP avec un certificat numérique ou une carte à puce, y compris
CAC et PIV. Cette méthode d’authentification prend uniquement en charge un
domaine AD ou LDAP pour chaque domaine de serveur maître et n’est pas
disponible pour les utilisateurs de domaine local. Vous devez effectuer cette
configuration séparément pour chaque domaine de serveur maître sur lequel vous
voulez utiliser cette méthode d’authentification.
Si cela n’a pas déjà été fait dans le cadre de la configuration de contrôle du contrôle
d’accès basé sur les rôles (RBAC), veillez à suivre les étapes ci-dessous avant de
configurer l’authentification par certificat :
Configuration de l’authentification par carte à puce 80
Configuration de l’authentification utilisateur avec des cartes à puce ou des certificats numériques

■ Ajoutez les domaines AD ou LDAP qui sont associés à vos utilisateurs


NetBackup.
Se reporter à "Ajout des domaines AD ou LDAP" à la page 40.
■ Configurez RBAC pour les utilisateurs NetBackup.
Se reporter à "Configuration de RBAC" à la page 21.
Pour configurer NetBackup de sorte à authentifier les utilisateurs avec une
carte à puce ou un certificat numérique
1 En haut à droite, sélectionnez Paramètres > Authentification par carte à
puce.
2 Activez l’ authentification par carte à puce.
3 Sélectionnez un domaine d’authentification utilisateur.
4 Sélectionnez un attribut de mappage du certificat.
5 Facultatif : entrez l’ URI OCSP.
Si vous ne fournissez pas l’URI OCSP, l’URI du certificat utilisateur sera utilisé.
6 Cliquez sur Enregistrer.
7 À droite des certificats de l’autorité de certification, cliquez sur Ajouter.
8 Recherchez ou faites glisser les certificats de l’autorité de certification et
cliquez sur Ajouter.
L’authentification par carte à puce requiert une liste des certificats de l’autorité
de certification racine ou intermédiaire approuvés. Ajoutez les certificats de
l’autorité de certification qui sont associés aux certificats numériques de
l’utilisateur ou aux cartes à puce.
Le fichier de certificat doit être au format .crt, .cer, .der, .pem ou PKCS #7
et ne doit pas dépasser 64 Mo.
9 Sur la page Authentification par carte à puce, vérifiez les informations de
configuration.
Configuration de l’authentification par carte à puce 81
Modifier la configuration pour l'authentification par carte à puce

10 Pour que les utilisateurs puissent utiliser un certificat numérique qui n'est pas
installé sur une carte à puce, le certificat doit être chargé vers le gestionnaire
de certificats du navigateur.
Consultez la documentation du navigateur pour obtenir des instructions ou
contactez votre administrateur de certificats pour obtenir plus d’informations.
11 Lorsque les utilisateurs se connectent, ils voient maintenant une option
permettant de se connecter avec un certificat ou une carte à puce.
Si vous ne voulez pas que les utilisateurs disposent de cette option de
connexion, désactivez Authentification par carte à puce. (Par exemple, si
les certificats ne sont pas encore configurés sur les hôtes de tous les
utilisateurs.) Les paramètres que vous avez configurés sont conservés même
si vous désactivez l’authentification par carte à puce.

Modifier la configuration pour l'authentification


par carte à puce
Si la configuration de l'authentification par carte à puce change, vous pouvez en
modifier les détails.
Pour modifier la configuration de l’authentification utilisateur
1 En haut à droite, sélectionnez Paramètres > Authentification par carte à
puce.
2 Cliquez sur Modifier.
3 Sélectionnez un domaine d’authentification utilisateur.
Seuls les domaines qui sont configurés pour NetBackup apparaissent dans
cette liste.
Se reporter à "Ajout des domaines AD ou LDAP" à la page 40.
4 Modifiez l’ attribut de mappage du certificat.
5 Laissez le champ URI OCSP vide pour utiliser la valeur URI du certificat de
l’utilisateur. Sinon, indiquez l’URI à utiliser.
Configuration de l’authentification par carte à puce 82
Ajout ou suppression d’un certificat de l’autorité de certification utilisé pour l’authentification par carte à puce

Ajout ou suppression d’un certificat de l’autorité


de certification utilisé pour l’authentification par
carte à puce
Ajout d’un certificat de l’autorité de certification
L’authentification par carte à puce requiert une liste des certificats de l’autorité de
certification racine ou intermédiaire approuvés. Ajoutez les certificats de l’autorité
de certification qui sont associés aux certificats numériques de l’utilisateur ou aux
cartes à puce.
Pour ajouter un certificat de l’autorité de certification
1 En haut à droite, sélectionnez Paramètres > Authentification par carte à
puce.
2 Cliquez sur Ajouter.
3 Recherchez ou faites glisser les certificats de l’autorité de certification.
Cliquez ensuite sur Ajouter.
L’authentification par carte à puce requiert une liste des certificats de l’autorité
de certification racine ou intermédiaire approuvés. Ajoutez les certificats de
l’autorité de certification qui sont associés aux certificats numériques de
l’utilisateur ou aux cartes à puce.
Les types de fichiers de certificat doivent être au format DER, PEM ou PKCS #7
et ne doivent pas dépasser 1 Mo.

Suppression d’un certificat de l’autorité de certification


Vous pouvez supprimer un certificat de l’autorité de certification s’il n’est plus utilisé
pour l’authentification par carte à puce. Si un utilisateur tente d’utiliser le certificat
de carte à puce ou le certificat numérique associé, il n’est pas en mesure de se
connecter à NetBackup.
Pour supprimer un certificat de l’autorité de certification
1 En haut à droite, sélectionnez Paramètres > Authentification par carte à
puce.
2 Sélectionnez les certificats de l’autorité de certification que vous voulez
supprimer.
3 Cliquez sur Supprimer > Supprimer.
Configuration de l’authentification par carte à puce 83
Désactivation ou désactivation temporaire de l’authentification par carte à puce

Désactivation ou désactivation temporaire de


l’authentification par carte à puce
Vous pouvez désactiver l’authentification par carte à puce si vous ne voulez plus
utiliser cette méthode d’authentification pour le serveur maître. Il en est de même
si vous avez besoin d’effectuer toute autre configuration pour que les utilisateurs
puissent utiliser les cartes à puce.
Pour désactiver l’authentification par carte à puce
1 En haut à droite, sélectionnez Paramètres > Authentification par carte à
puce.
2 Désactivez l’option Authentification par carte à puce.
Les paramètres que vous avez configurés sont conservés même si vous
désactivez l’authentification par carte à puce.
Chapitre 11
Dépannage de l’accès à
l’interface utilisateur Web
Ce chapitre traite des sujets suivants :

■ Conseils pour accéder à l’interface utilisateur Web NetBackup

■ L’utilisateur ne dispose pas des autorisations ou de l’accès appropriés dans


l’interface utilisateur Web NetBackup

■ Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

Conseils pour accéder à l’interface utilisateur Web


NetBackup
Lorsque NetBackup est configuré correctement, vous pouvez accéder au serveur
maître à l’URL suivante :
https://masterserver/webui/login
Si l’interface utilisateur Web sur un serveur maître ne s’affiche pas, suivez les
étapes ci-dessous pour résoudre le problème.

Le navigateur affiche une erreur indiquant que la


connexion a été refusée ou qu’il ne peut pas se connecter
à l’hôte.
Tableau 11-1 Solutions lorsque l’interface utilisateur Web ne s’affiche pas

Étape Action Description

Étape 1 Vérifiez la connexion réseau.


Dépannage de l’accès à l’interface utilisateur Web 85
Conseils pour accéder à l’interface utilisateur Web NetBackup

Étape Action Description

Étape 2 Vérifiez que le pare-feu est Consultez l’article suivant :


ouvert pour le port 443.
https://www.veritas.com/docs/100042950

Étape 3 Si le port 443 est déjà utilisé, Consultez l’article suivant :


configurez un autre port pour
https://www.veritas.com/docs/100042950
l’interface utilisateur Web.

Étape 4 Vérifiez que le service Pour plus d’informations, vérifiez les journaux nbwebservice.
nbwebservice est actif.

Étape 5 Vérifiez que vnetd Vérifiez que le service vnetd -http_api_tunnel est en cours
-http_api_tunnel est en d’exécution.
cours d’exécution.
Pour plus de détails, vérifiez les journaux vnetd -http_api_tunnel
avec OID 491.

Étape 6 Assurez-vous que le certificat ■ Utilisez les commandes Java Keytool pour valider le fichier suivant :
externe pour le serveur Web Windows :
NetBackup est accessible et install_path\var\global\wsl\credentials\nbwebservice.jks
qu’il n’a pas expiré. UNIX : /usr/openv/var/global/wsl/credentials
nbwebservice.jks
■ Vérifiez si nbwebgroup dispose de droits d’accès au fichier
nbwebservice.jks.
■ Contactez le support technique Veritas

Impossible d’accéder à l’interface utilisateur Web lorsque


vous utilisez un port personnalisé
■ Redémarrez le service vnetd.
■ Suivez les étapes de Tableau 11-1.

Affichage d’un avertissement de certificat lorsque vous


tentez d’accéder à l’interface utilisateur Web
L’avertissement de certificat s’affiche si le serveur Web NetBackup utilise un certificat
émis par une autorité de certification qui n’est pas approuvée par le navigateur
Web. (Y compris le certificat de serveur Web NetBackup par défaut émis par
l’autorité de certification NetBackup.)
Pour résoudre un avertissement de certificat à partir du navigateur lorsque
vous accédez à l’interface utilisateur Web
1 Configurez le certificat externe sur le serveur Web NetBackup.

2 Si le problème persiste, contactez le support technique de Veritas.


Dépannage de l’accès à l’interface utilisateur Web 86
L’utilisateur ne dispose pas des autorisations ou de l’accès appropriés dans l’interface utilisateur Web
NetBackup

L’utilisateur ne dispose pas des autorisations ou


de l’accès appropriés dans l’interface utilisateur
Web NetBackup
Seuls les administrateurs, les utilisateurs racine ou les utilisateurs de l’audit amélioré
disposent automatiquement d’un accès complet à l’interface utilisateur Web. Les
autres utilisateurs doivent être configurés dans RBAC afin d’obtenir les droits d’accès
et les autorisations nécessaires pour l’interface utilisateur Web.
Se reporter à "Configuration de RBAC" à la page 21.
Si un utilisateur ne dispose pas des autorisations appropriées ou ne peut pas
accéder à des biens de la charge de travail , procédez comme suit :
■ Vérifiez que les informations d’authentification de l’utilisateur correspondent au
nom d’utilisateur (ou le nom d’utilisateur et le nom de domaine) qui est spécifié
dans la règle d’accès de l’utilisateur.
■ Passez en revue les règles d’accès de l’utilisateur dans Sécurité > RBAC. Il
peut être nécessaire de modifier les autorisations basées sur le rôle ou les
groupes d’objets qui sont associés à ces règles d’accès. Cependant, vous devez
être conscient du fait que ce type de modifications s’applique également aux
autres utilisateurs associés à ces rôles ou groupes d’objets.
■ Les modifications de compte d’utilisateur effectuées auprès du fournisseur
d’identités ne sont pas synchronisées avec les règles d’accès de l’utilisateur.
Si un compte d’utilisateur est modifié auprès du fournisseur d’identités, il se
peut que l’utilisateur ne dispose plus des autorisations ou des accès appropriés.
L’administrateur de sécurité NetBackup doit modifier chacune des règles d’accès
de l’utilisateur afin de supprimer le compte d’utilisateur existant et d’ajouter le
nouveau compte.
■ Les modifications apportées aux règles d'accès d'un utilisateur ne sont pas
affichées immédiatement dans l'interface utilisateur Web. Si une session est
active, l'utilisateur doit se déconnecter et se reconnecter pour que les
modifications s'appliquent.

Impossible d’ajouter des domaines AD ou LDAP


avec la commande vssat
Après avoir ajouté un domaine AD ou LDAP, vous pouvez vérifier la configuration
avec la commande vssat validateprpl, et pour les groupes, avec la commande
vssat validategroup. Si le domaine n’est pas ajouté avec succès, la validation
Dépannage de l’accès à l’interface utilisateur Web 87
Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

vssat affiche le message The principal or group does not exist. Plus de
détails sont enregistrés dans les journaux de nbatd.
La validation d’un utilisateur AD ou LDAP peut échouer pour l’une des raisons
suivantes :
■ Impossible d’établir la connexion avec le serveur AD ou LDAP
■ Des informations d’authentification d’utilisateur incorrectes ont été fournies
■ Un nom unique de base de groupe ou d’utilisateur incorrect a été fourni
■ Plusieurs utilisateurs ou groupes existent avec le même nom sous le nom unique
de base du groupe ou le nom unique de base de l’utilisateur
■ L’utilisateur ou le groupe n’existe pas
Pour plus d’informations sur la commande vssat, consultez le Guide de référence
des commandes de NetBackup.

Impossible d’établir la connexion avec le serveur AD ou LDAP


Si NetBackup ne parvient pas à établir la connexion avec le serveur AD ou LDAP,
les journaux de nbatd contiennent l’erreur suivante :
Exemple de message d’erreur :
■ (authldap.cpp) CAuthLDAP::validatePrpl - ldap_simple_bind_s()
failed for user CN=Test User,OU=VTRSUsers,DC=VRTS,DC=com',
error = -1, errmsg = Can’t contact LDAP server,9:debugmsgs,1

La validation de l’URL du serveur LDAP échoue


L’URL du serveur LDAP (option -s) qui est saisie à l’aide de la commande vssat
addldapdomain ne réussit pas le test de validation.

Valider l’URL :
■ ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd>
-d <debug_level> -o nettimeout=<seconds>

Exemple de message d’erreur de validation :


■ ldapsearch -H ldaps://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ********
-d 5 -o nettimeout=60

TLS: can't connect: TLS error -8179:Peer's Certificate issuer


is not recognized. ldap_sasl_bind(SIMPLE):
Can't contact LDAP server (-1)
Dépannage de l’accès à l’interface utilisateur Web 88
Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

L’émetteur de certificat du serveur n’est pas une autorité


de certification approuvée
Si vous utilisez l’option ldaps, vous pouvez valider l’émetteur du certificat à l’aide
de la commande ldapsearch.
Valider l’émetteur du certificat :
■ set env var LDAPTLS_CACERT to cacert.pem

ldapsearch -H <LDAPS_URI> -D "<admin_user_DN>" -w <passwd>


-d <debug_level> -o nettimeout=<seconds>

Exemple de message de validation :


■ ldapsearch -H ldaps://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ********
-d 5 -o nettimeout=60

TLS: can't connect: TLS error -8179:


Peer's Certificate issuer is not recognized..ldap_sasl_bind(SIMPLE):
Can't contact LDAP server (-1)

Le chemin d’accès au fichier pour cacert.pem est le suivant :


■ Windows :

install_path\NetBackup\var\global\vxss\eab\data
\systemprofile\certstore\trusted\pluggins\ldap\cacert.pem

■ UNIX :

/usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile
/certstore/trusted/pluggins/ldap/cacert.pem

L’autorité de certification (CA) qui a signé le certificat de


sécurité du serveur LDAP n’est pas répertoriée dans le
magasin d’approbation nbatd
Utilisez l’option -f de la commande vssat addldapdomain pour ajouter le certificat
au référentiel approuvé de nbatd.
Cette option est nécessaire si l’autorité de certification qui a signé le certificat n’est
pas l’une de celles indiquées ci-dessous :

Certification Services Division GeoTrust Symantec Corporation


Dépannage de l’accès à l’interface utilisateur Web 89
Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

CyberTrust GlobalSign VeriSign Trust Network

DigiCert RSA Security Inc.

Informations d’authentification de l’utilisateur non valides


Lorsque vous ajoutez un domaine LDAP à l’aide de la commande vssat
addldapdomain et que les informations d’authentification de l’utilisateur ne sont
pas valides, les journaux de nbatd contiennent l’erreur suivante :
■ CAuthLDAP::validatePrpl - ldap_simple_bind_s() failed for user
'CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com',
error = 49, errmsg = Invalid credentials,9:debugmsgs,1

Exécutez la commande suivante pour valider le nom unique et le mot de passe de


l’utilisateur admin :
■ ldapsearch -H <LDAP_URI> -D "<admin_user_DN>"
-w <passwd> -d <debug_level> -o nettimeout=<seconds>

Exemple de message :
■ ldapsearch -H ldap://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ********
-d 5 –o nettimeout=60 ldap_bind: Invalid credentials (49)

Un nom unique de base de groupe ou d’utilisateur incorrect a été


fourni
Si le nom unique de base de l’utilisateur (option -u) ou le nom unique de base du
groupe (option -g) est incorrect, les journaux de nbatd contiennent l’erreur suivante :
■ CAuthLDAP::validatePrpl - ldap_search_s() error = 10,
errmsg = Referral,9:debugmsgs,1 CAuthLDAP::validatePrpl-ldap_search_s()
error = 34, errmsg = Invalid DN syntax,9:debugmsgs,1

Par exemple, exécutez la commande suivante :


■ ldapsearch -H ldap://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******
-b "OU=VRTSUsers,DC=VRTS,DC=con" "(&(cn=test user)(objectClass=user))"

ldapsearch -H ldap://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******
-b "VRTS" "(&(cn=test user)(objectClass=user))"
Dépannage de l’accès à l’interface utilisateur Web 90
Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

Plusieurs utilisateurs ou groupes existent avec le même nom sous


le nom unique de base de l’utilisateur ou le nom unique de base du
groupe
Pour résoudre le problème
1 Vérifiez si les journaux nbatd contiennent l’erreur suivante :
■ CAuthLDAP::validateGroup - search returned '2' entries for group name
'team_noone', even with referrals set to OFF,9:debugmsgs,1

2 Validez le nombre d’entrées correspondantes pour le nom unique de base


existant à l’aide de la commande ldapsearch:
■ ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd>
-d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>

Ceci s’applique si l’attribut de recherche d’utilisateur (option -a) et l’attribut de


recherche de groupe (option -y) n’ont pas de valeurs uniques pour le nom
unique de base de l’utilisateur et le nom unique de base du groupe,
respectivement.

Exemple de message de validation :


■ ldapsearch -H ldap://example.veritas.com:389 -D
"CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******
-b "DC=VRTS,DC=com" "(&(cn=test user)(objectClass=user))"
# LDAPv3 # base <DC=VRTS,DC=com> with scope subtree # filter:
(cn=Test User) # requesting: ALL # Test User, VRTSUsers,
VRTS.com dn: CN=Test User,OU=VRTSUsers,DC=VRTS,
DC=com # Test User, RsvUsers, VRTS.com dn:
CN=Test User,OU=RsvUsers,DC=VRTS,DC=com # numEntries: 2

L’utilisateur ou le groupe n’existe pas


Pour résoudre le problème
1 Vérifiez si les journaux nbatd contiennent l’erreur suivante :
■ CAuthLDAP::validatePrpl - user ‘test user’ NOT found,
9:debugmsgs,4 CAuthLDAP::validateGroup - group
'test group' NOT found, 9:debugmsgs,4

2 Si un utilisateur ou groupe existe dans le domaine LDAP, mais que la


commande vssat validateprpl ou vssat validategroup échoue avec cette
Dépannage de l’accès à l’interface utilisateur Web 91
Impossible d’ajouter des domaines AD ou LDAP avec la commande vssat

erreur, vérifiez que l’utilisateur ou le groupe existe dans le nom de base actuel
(options -u et -g) à l’aide de la commande suivante.
■ ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd>
-d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>