Veritas NetBackup™ Appliance セキュリティガイド
LDAP ユーザーの認証について
NetBackup appliance は組み込みのプラガブル認証モジュール (PAM) プラグインを使って LDAP (Lightweight Directory Access Protocol) ユーザーの認証をサポートします。この機能により、LDAP ディレクトリサービスに属しているユーザーを NetBackup appliance にログオンできるように追加して認証できます。LDAP は、UNIX サービスによってインストールされるスキーマを持つ別の種類のユーザーディレクトリとして認識されます。
アプライアンスで LDAP ユーザー認証を使用するための前提条件と必要条件を以下に示します。
LDAP スキーマは RFC 2307 または RFC 2307bis に準拠する必要があります。
次のファイアウォールポートを開く必要があります。
LDAP 389
LDAP OVER SSL/TLS 636
HTTPS 443
LDAP サーバーが利用できること、またそれがアプライアンスに登録するユーザーとユーザーグループで設定されていることを確認します。
メモ:
ベストプラクティスとして、アプライアンスのローカルユーザーまたは NetBackupCLI ユーザーにすでに使われているグループ名またはユーザー名は使わないでください。また、LDAP ユーザーのアプライアンスのデフォルト名 admin または maintenance を使わないでください。
アプライアンスは、LDAP 構成の ID マッピングを処理しません。Veritas アプライアンスユーザーの場合に限り、1000~1999 のユーザー ID とグループ ID の範囲を予約することをお勧めします。
新しい LDAP ユーザーとユーザーグループをアプライアンスに登録する前に、LDAP サーバーと通信するようにアプライアンスを構成する必要があります。構成が完了すると、アプライアンスは LDAP サーバーの認証用ユーザー情報にアクセスできます。
LDAP ユーザー認証を構成するには、次のオプションのいずれかを使用します。
NetBackup Appliance Web コンソールの[設定 (Settings)] > [認証 (Authentication)] > [LDAP]。
NetBackup Appliance シェルメニューから Settings > Security > Authentication > LDAP。
LDAP ユーザー認証をアプライアンス上で構成および管理するための詳細な手順については、『NetBackup Appliance 管理者ガイド』と『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
アプライアンスリリース 3.2 以降の NetBackup Appliance では、NetBackup Web UI を使用する Active Directory (AD) または Lightweight Directory Access Protocol (LDAP) ドメインユーザーの 2 要素認証 (2FA) がサポートされます。以下、3.2 リリースの 2FA サポートについて説明します。
nbasecadmin ユーザーまたは NetBackup 管理者の役割を持つユーザーは、NetBackup Web UI の 2FA を構成できます。
2FA のサポート対象は、NetBackup™ Web UI を使用する AD または LDAP ドメインユーザーのみです。現在、NetBackup Appliance シェルメニューまたは NetBackup Appliance Web コンソールを使用する場合、2FA 機能はサポートされません。
2FA を構成するには、アプライアンスで AD または LDAP がすでに構成されている場合でも、NetBackup のために別の AD または LDAP を構成する必要があります。
2FA を有効にする方法について詳しくは、次のトピックを参照してください。
スマートカードとデジタル証明書を使用した認証についてを参照してください。