EMC® NetWorker® Security 8.2 Guide de configuration · 302-000-703 02 Sécuritéd’EMC ......

® NetWorker®Version 8.2

Guide de configuration302-000-703

02

Sécurité d’EMC

Copyright © 2014 EMC Corporation. Tous droits réservés.

Publié en Octobre, 2014

EMC estime que les informations figurant dans cette publication sont exactes à la date de parution. Ces informations sontsujettes à modification sans préavis.

LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "EN L' ÉTAT". EMC CORPORATION NE FOURNITAUCUNE DÉCLARATION NI GARANTIE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION ET REJETTE PLUSSPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OU D’ADÉQUATION IMPLICITE À UN BESOIN SPÉCIFIQUE.

EMC², EMC et le logo EMC sont des marques déposées ou des marques commerciales d’EMC Corporation aux États-Unis etdans d’autres pays. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteursrespectifs.

Pour obtenir les documents réglementaires les plus récents pour votre produit, rendez-vous sur le site de support enligne https://support.emc.com.

EMC Computer Systems FranceRiver Ouest 80 quai Voltaire CS 21002 95876 Bezons CedexTél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99http://france.emc.com

2 EMC NetWorker Security 8.2 Guide de configuration

5

7

9

Introduction 13

Paramètres du contrôle d’accès 15

Authentification des utilisateurs....................................................................16Configuration du serveur NMC et de l’utilisateur par défaut.............. 16Configuration de la liste des administrateurs NetWorker Server........17Configuration de l’accès des utilisateurs aux Networker Servers dansNMC.................................................................................................18

Autorisation utilisateur..................................................................................39Autorisation du serveur NMC............................................................40Autorisation du serveur.................................................................... 41Résolution des erreurs d’autorisation et des problèmes d’accès àNetWorker Server............................................................................. 53

Contrôle d’accès au composant.....................................................................54Authentification des composants.....................................................54Autorisation des composants...........................................................71

Paramètres des logs 75

Fichiers log NetWorker...................................................................................76Affichage des fichiers log.............................................................................. 81

Publication manuelle d’un fichier brut..............................................81Publication des fichiers log bruts lors de l’exécution........................ 82

Gestion des fichiers log bruts........................................................................ 84Gestion de la taille des fichiers log bruts pour les fichiers daemon.raw,networkr.raw et gstd.raw.................................................................. 86

Contrôle des modifications des ressources du NetWorker Server...................87Configuration des niveaux de consignation................................................... 88

Réglage du niveau de débogage des processus NetWorker ..............88Exécution de sauvegardes planifiées en mode débogage................. 92Exécution de sauvegardes initiées par un client en mode débogage àpartir de la ligne de commande........................................................ 93Exécution de restaurations en mode débogage................................ 94

Paramètres de sécurité des communications 99

Support pour l’utilisation des ports et les pare-feu...................................... 100Ports de service..............................................................................100Ports de connexion........................................................................ 100

Considérations spéciales relatives aux environnements de pare-feu........... 101

Figures

Tableaux

Préface

Chapitre 1

Chapitre 2

Chapitre 3

Chapitre 4

SOMMAIRE

EMC NetWorker Security 8.2 Guide de configuration 3

Configuration de connexions persistantes TCP au niveau du systèmed’exploitation................................................................................ 101

Détermination des exigences du port de service..........................................103Exigences de NetWorker Client en matière de ports de service........103Configuration requise des ports de service pour les nœuds destockage NetWorker....................................................................... 104Configuration requise des ports de service pour NetWorker Server. 105Configuration requise des ports de service pour le serveur NMC.....107

Configuration des plages de ports de service dans NetWorker.....................107Détermination des numéros des ports disponibles.........................107Configuration des plages de ports dans EMC NetWorker ................107

Configuration des ports de service sur le pare-feu....................................... 110Confirmation des ports de service du serveur NMC.........................113

Détermination d’exemples d’exigences de port de service ..........................114Dépannage................................................................................................. 119

Paramètres de sécurité des données 123

Chiffrement des données de sauvegarde.....................................................124Modification de la ressource lockbox............................................. 124Définition de la phrase de passe AES............................................. 125Configuration de la ressource Client pour l’utilisation du chiffrementAES................................................................................................ 125Configuration du chiffrement pour une sauvegarde initialisée par leclient............................................................................................. 126Restauration des données chiffrées............................................... 127Conformité avec la norme Federal Information Processing Standard...................................................................................................... 129

Intégrité des données................................................................................. 130Vérification de l’intégrité des données de sauvegarde....................130Vérification de l’intégrité des données média de NetWorker Server etdes index de fichiers client.............................................................132

Effacement des données............................................................................. 133Gestion de la base de données des médias NetWorker et des donnéesd’indexation...................................................................................133Effacement manuel des données sur les volumes de bande et VTL.134Effacement manuel des données à partir d’un périphérique AFTD.. 135

Paramètres système des alertes de sécurité................................................ 135Contrôle des modifications des ressources du NetWorker Server....135Consignation de l’audit de sécurité................................................ 136

151

Chapitre 5

Index

SOMMAIRE


Conteneur utilisateur LDAP............................................................................................ 28Conteneur groupe LDAP................................................................................................. 28Gérer les valeurs Authentication Authorities pour une configuration LDAP .....................29ADSI Edit pour conteneur utilisateur ............................................................................. 29ADSI Edit pour conteneur groupe .................................................................................. 31Valeurs Gérer les autorités d’authentification pour la configuration AD ......................... 32Pare-feu unidirectionnel avec nœuds de stockage ...................................................... 115Pare-feu unidirectionnel avec nœuds de stockage ...................................................... 116Pare-feu bidirectionnel avec appliance Data Domain .................................................. 117Le serveur de log d’audit gère une zone de données unique........................................ 138Le serveur NMC est le serveur de log d’audit pour plusieurs zones de données............139Chaque NetWorker Server dans une zone de données est le serveur de log d’audit......140Ressource Audit Log de sécurité ................................................................................. 148

12345678910111213

FIGURES


FIGURES


Historique des versions................................................................................................... 9Paramètres de configuration de l’autorité ..................................................................... 23Erreurs de hiérarchie dans l'assistant de Configuration de l'authentification .................33Groupes d’utilisateurs NMC et privilèges associés......................................................... 40Opérations autorisées pour chaque privilège NetWorker ............................................... 43Privilèges associés à chaque groupe d’utilisateurs NetWorker....................................... 47Fichiers log NetWorker................................................................................................... 76Attributs de fichiers log bruts permettant de gérer la taille des fichiers log.....................85Attributs de fichiers log bruts permettant de gérer le mécanisme de découpage du fichierlog.................................................................................................................................85Définition des paramètres TCP pour chaque système d’exploitation.............................102Exigences de ports NetWorker Client standard pour NetWorker Server......................... 103Exigences supplémentaires relatives aux ports de service pour les clients Snapshot... 104Configuration requise des ports de service pour les noeuds de stockage .................... 105Exigences NetWorker Server en matière de ports programme.......................................106Configuration requise de ports du serveur NMC pour chaque NetWorker Client ........... 107Options nsrports..........................................................................................................109Configuration requise des ports pour les communications NetWorker avec desapplications tierces .................................................................................................... 110Plateformes contenant des technologies de chiffrement de RSA BSAFE conformes à lanorme FIPS prises en charge par NetWorker................................................................. 129Niveaux disponibles pour le processus nsrck...............................................................133Matrice d’interopérabilité du log d’audit de sécurité ................................................... 143

123456789

1011121314151617

18

1920

TABLEAUX


TABLEAUX


Préface

En vue d'améliorer la qualité de sa gamme de produits, EMC publie régulièrement desrévisions de ses matériels et logiciels. Par conséquent, il se peut que certaines fonctionsdécrites dans le présent document ne soient pas prises en charge par l’ensemble desversions des logiciels ou matériels actuellement utilisés. Pour obtenir les informationsles plus récentes sur les fonctionnalités des produits, consultez les notes de mise à jourde vos produits.

Si un produit ne fonctionne pas correctement ou ne fonctionne pas de la manière décritedans ce document, contactez un professionnel du support technique EMC.

Remarque

les informations figurant dans ce document sont exactes à la date de publication.Accédez au site de support en ligne EMC (https://support.emc.com) afin de vous assurerque vous utilisez la version la plus récente de ce document.

ObjectifCe document fournit une présentation des paramètres de sécurité disponibles dans leproduit EMC NetWorker.

AudienceCe guide fait partie de la documentation EMC NetWorker et est destiné auxadministrateurs système responsables de la configuration et de la maintenance deNetWorker, ainsi que de la gestion d’un réseau sécurisé.

Historique des versionsLe tableau ci-dessous présente l’historique des révisions du présent document.

Tableau 1 Historique des versions

Révision Date Description

03 14 octobre 2014 Mise à jour des sections suivantes :

l Importation des informations d’identification deshôtes locaux dans la ressource d’informationsd’homologue NSR.

l Exportation des informations d’identification deshôtes locaux dans la ressource d’informationsd’homologue NSR.

02 29 août 14 Version GA de ce document pour EMC NetWorker 8.2. Elleinclut de nouvelles informations sur les messagesd'erreur les plus courants du log d'audit.

01 18 juin 14 Première version de ce document pour EMCNetWorker 8.2.

Documentation connexeLes publications EMC suivantes apportent des informations complémentaires :

l NetWorker Online Software Compatibility Guide


https://support.emc.com/

Présente la liste des systèmes d’exploitation des clients, serveurs et nœuds destockage pris en charge par les versions logicielles de protection des informationsEMC. Vous pouvez accéder au guide Online Software Compatibility Guide sur le sitede support en ligne EMC à l’adresse support.emc.com. À partir des pages Support parproduit, faites une recherche sur NetWorker en utilisant la section Rechercher unproduit, puis cliquez sur le lien Installer, licence et configurer.

l Guide d’administration d’EMC NetWorkerDécrit les procédures de configuration et de maintenance du logiciel EMC NetWorker.

l Guide d’intégration avec le cluster d’EMC NetWorkerContient des informations relatives à la configuration du logiciel EMC NetWorker surserveur et clients de cluster.

l Guide d’installation d’EMC NetWorkerFournit des informations sur les procédures d'installation, de désinstallation et demise à jour du logiciel EMC NetWorker pour les clients, les nœuds de stockage et lesserveurs sur tous les systèmes d’exploitation pris en charge.

l Guide EMC NetWorker Updating from a Previous ReleaseDécrit comment mettre à jour le logiciel NetWorker à partir d’une version déjàinstallée.

l Notes de mise à jour d’EMC NetWorkerFournit des informations sur les nouvelles fonctionnalités et les modifications, lesproblèmes résolus, les restrictions connues, l’environnement et la configurationmatérielle requise de la dernière version du logiciel EMC NetWorker.

l Guide d’intégration des périphériques de déduplication d’EMC NetWorker AvamarFournit des informations de configuration et de planification sur l’utilisation despériphériques Avamar dans un environnement NetWorker.

l EMC NetWorker Command Reference GuideFournit des informations de référence pour les commandes et options d’EMCNetWorker.

l Guide d’intégration des périphériques de déduplication d’EMC NetWorker Data DomainFournit des informations de planification et de configuration sur l'utilisation d'unitésData Domain pour la sauvegarde et le stockage de déduplication dans unenvironnement NetWorker.

l Guide de reprise après sinistre d’EMC NetWorkerFournit des informations sur la préparation aux sinistres et la restauration deserveurs NetWorker Server, noeuds de stockage et clients NetWorker Client.

l Guide des messages d’erreur d’EMC NetWorkerFournit des informations sur les messages d’erreur fréquents dans EMC NetWorker.

l Guide d’octroi de licence d’EMC NetWorkerFournit des informations sur l’octroi des licences pour les produits et fonctions d’EMCNetWorker.

l Guide de planification de l’optimisation des performances d’EMC NetWorkerFournit des informations de base sur le dimensionnement, la planification etl’optimisation des performances pour les environnements EMC NetWorker.

l Aide en ligne d’EMC NetWorker Management ConsoleDécrit les tâches d’administration quotidiennes réalisées dans NetWorkerManagement Console et dans la fenêtre Administration de NetWorker. Pour consulterl'aide, cliquez sur Aide dans le menu principal.

l Aide en ligne d’EMC NetWorker UserExplique comment utiliser le programme NetWorker User, interface client sousWindows qui permet de se connecter à un serveur pour sauvegarder, restaurer,archiver et récupérer des fichiers sur un réseau.

Préface


https://support.emc.com/

l Documentation technique et livres blancsLes notes techniques et les livres blancs offrent une étude technique approfondied’un ou de plusieurs produits en fonction des problèmes ou besoins métierscritiques. Les documents de type notes techniques et livres blancs décrivent desconcepts technologiques, des considérations métiers et des technologiesappliquées, et fournissent des analyses détaillées ainsi qu’une planification desbonnes pratiques.

Conventions utilisées dans ce document pour certains points particuliersEMC utilise les conventions suivantes pour attirer l'attention du lecteur sur certainspoints particuliers :

NOTE

Indique des pratiques n'impliwuant aucune blessure.

Remarque

fournit d'importantes informations importante, mais non vitales.

Conventions typographiquesEMC utilise les conventions typographiques suivantes dans le présent document :

En gras Utilisé pour les noms d’éléments d’interface, tels que les noms defenêtres, de boîtes de dialogue, de boutons, de champs, d’onglets, detouches et de chemins de menus (tout ce qui nécessite une sélectionou un clic de l’utilisateur).

Italique Utilisé pour les titres complets de publications référencées dans letexte.

Monospace Utilisé pour :l code système ;

l les données de sortie du système, telles que les messages d’erreurou les scripts ;

l noms de chemin, noms de fichier, invites et syntaxe ;

l commandes et options.

Monospace italique Utilisé pour les variables

Monospace gras Utilisé pour les entrées utilisateur[ ] Les crochets entourent les valeurs facultatives.

| Une barre verticale indique les sélections alternatives (la barre signifie« « ou » »).

{ } Les accolades entourent le contenu que l’utilisateur doit spécifier,c’est-à-dire x, y ou z.

... Les points de suspension indiquent des informations non essentiellesomises dans l’exemple.

Où obtenir de l'aidePour plus d'informations sur le support, les produits et les licences EMC, procédezcomme suit :

Préface


Informations sur les produitsPour toute information sur la documentation, les notes de mise à jour, les mises à jourlogicielles ou les produits EMC, consultez le Support en ligne d’EMC à l’adresse : https://support.emc.com.

Support techniqueSélectionnez Support en ligne d’EMC et cliquez sur Centre de service. Vous disposez deplusieurs possibilités pour contacter le support technique EMC. Notez que pour pouvoirouvrir une demande de service, vous devez disposer d’un contrat de support valide. Poursavoir comment obtenir un contrat de support valide ou pour toute question concernantvotre compte, contactez un responsable de compte EMC.

Communauté en ligneVisitez le site Web de la communauté EMC à l’adresse https://community.emc.com pourcontacter vos homologues, dialoguer et accéder à des informations sur le support produitet les solutions. Communiquez en ligne et de façon interactive avec des clients, despartenaires et des professionnels certifiés au sujet de tous les produits EMC.

Vos commentairesVos suggestions nous aident à améliorer l'exactitude, l'organisation et la qualité globalede nos documentations utilisateur. Nous vous invitons à envoyer votre avis sur cedocument à l’adresse suivante : [email protected].

Préface


https://support.emc.comhttps://support.emc.comhttps://community.emc.commailto:[email protected]

CHAPITRE 1

Introduction

EMC ® NetWorker

® est une application de sauvegarde hétérogène qui traite les

problématiques de protection des données. La gestion centralisée des capacités deNetWorker fournit une protection des données efficace pour les systèmes de fichiers, lesapplications d’entreprise, les baies de stockage et les systèmes de fichiers NAS pour unelarge gamme de périphériques cibles.

Ce guide fournit un aperçu des Paramètres de configuration de sécurité disponibles dansNetWorker, du déploiement sécurisé et des contrôles de sécurité physique nécessairespour assurer le fonctionnement sécurisé du produit.

Il comprend les sections suivantes :

Paramètres du contrôle d’accèsLes paramètres du contrôle d’accès permettent de protéger les ressources contredes accès non autorisés. Ce chapitre fournit un aperçu des paramètres disponiblesdans le produit pour assurer le fonctionnement sécurisé du produit et décrit la façondont vous pouvez limiter l’accès au produit par utilisateur final ou par composantexterne du produit.

Paramètres des logsUn log est un enregistrement chronologique qui vous aide à examiner du début à lafin les séquences activités concomitantes ou déclenchant une opération, uneprocédure ou un événement dans une transaction de sécurité. Ce chapitre expliquecomment accéder aux fichiers log disponibles dans EMC NetWorker et commentgérer ces derniers.

Paramètres de sécurité des communicationsLes paramètres de sécurité des communications permettent d’établir des canaux decommunication sécurisés entre les composants NetWorker, entre les composantsNetWorker et les systèmes externes ainsi qu’entre les composants NetWorker et lescomposants externes. Ce chapitre explique comment s’assurer qu’EMC NetWorkerutilise des canaux sécurisés pour la communication et comment configurer EMCNetWorker dans un environnement protégé par un pare-feu.

Paramètres de sécurité des donnéesLes paramètres de sécurité des données vous permettent de définir des contrôlesqui évitent les accès non autorisés et la divulgation des données stockées de façonpermanente par NetWorker. Ce chapitre décrit les paramètres disponibles pourassurer la protection des données gérées par EMC NetWorker.

Introduction 13

Introduction


CHAPITRE 2

Paramètres du contrôle d’accès

Les paramètres du contrôle d’accès permettent de protéger les ressources contre desaccès non autorisés. Ce chapitre décrit les paramètres que vous pouvez utiliser pourlimiter l’accès des utilisateurs ou des composants de produit externes.

l Authentification des utilisateurs............................................................................16l Autorisation utilisateur..........................................................................................39l Contrôle d’accès au composant.............................................................................54

Paramètres du contrôle d’accès 15

Authentification des utilisateursLes paramètres d’authentification utilisateur contrôlent les processus utilisés par lesapplications logicielles NetWorker Management Console (NMC) et EMC NetWorker pourvérifier l’identité déclarée par un utilisateur et déterminer le niveau d’accès autorisé decet utilisateur.

Lorsque vous utilisez un navigateur Web sur un hôte (client NMC) pour vous connecter auserveur NMC, le processus http sur le serveur NMC télécharge le client Java sur le clientNMC. Il n’est pas nécessaire d’utiliser une connexion http sécurisée (https) parce que leclient Java transfère les informations et procède à l’authentification entre le serveur NMCet le client NMC. Le serveur NMC utilise le protocole SSL pour chiffrer le nom d’utilisateuret le mot de passe que vous saisissez dans la fenêtre de connexion et authentifie lesinformations d’identification. La première fois qu’un client NMC se connecte au serveurNMC, ce dernier utilise l’authentification native basée sur NMC pour authentifier lesinformations d’identification de l’utilisateur. Après cette première connexion au serveurNMC, vous pouvez continuer à utiliser l’authentification basée sur NMC ou configurerl’accès au serveur NMC en utilisant une autorité d’authentification externe, telle queLDAP ou AD.

Si les serveurs NMC et NetWorker résident sur des hôtes différents, assurez-vous quel’attribut Liste des administrateurs sur le NetWorker Server inclut les comptes NMCappropriés avant de vous connecter à un NetWorker Server. La section Configuration de laliste des administrateurs à la page 17 fournit plus d’informations à ce sujet.

Configuration du serveur NMC et de l’utilisateur par défautLe serveur NMC dispose d’un compte administrateur par défaut. Lorsque vous utilisez unclient NMC pour vous connecter au serveur NMC pour la première fois, l’assistant deconfiguration vous invite à définir le mot de passe.

Avant de commencer

Les étapes suivantes supposent que vous avez installé le logiciel NetWorker et que vousavez satisfait aux conditions logicielles et matérielles requises sur l’ordinateur quiaccédera au serveur NMC. Pour plus d’informations, consultez le Guide d’installationNetWorker sur le site de support en ligne EMC.

Procédure

1. Depuis un navigateur web pris en charge, entrez l’URL du serveur NMC : http://server_name:http_service_port

où :

l server_name est le nom du serveur NMC.

l http_service_port est le port du serveur HTTP incorporé. Le port HTTP par défaut est9000.

Quelques exemples : http://houston:9000

2. Dans la fenêtre Welcome, cliquez sur Start.

3. Dans la fenêtre Avertissement de sécurité, cliquez sur Démarrer pour installer etexécuter NetWorker Console.

4. Dans la fenêtre Contrat de licence, sélectionnez Accepter.

5. Si vous n’avez pas installé la version appropriée de JRE sur le système, un messagevous invite à l’installer. Suivez les instructions affichées à l’écran pour installer le JRE.



6. Dans la fenêtre Bienvenue dans l’assistant de configuration de Console, cliquez surSuivant.

7. Dans la fenêtre Définir le mot de passe, entrez le mot de passe NMC, puis cliquez surSuivant.

8. Dans la fenêtre Définir le serveur de sauvegarde de base de données, spécifiez lenom du NetWorker Server qui sauvegardera la base de données du serveur de NMC,puis cliquez sur Suivant.

9. Dans la fenêtre Ajouter des NetWorker Servers, indiquez les noms du NetWorkerServer que le serveur de NMC va gérer. Lorsque vous spécifiez plus d’un NetworkerServer, ajoutez un nom par ligne. Laissez les options par défaut Capturer lesévénements et Collecter des données de rapport activées.

l Activez l’option Capturer les événements pour permettre au serveur NMC desurveiller et d’enregistrer les alertes liées à des événements se produisant sur leserveur NetWorker.

l Activez l’option Collecter des données de rapport pour permettre au serveur NMCde recueillir automatiquement des données à propos du serveur NetWorker etgénérer des rapports. Le Guide d’administration d’EMC NetWorker disponible sur lesite de support en ligne d’EMC décrit comment créer des rapports et montre lesrapports disponibles.

10.Cliquez sur Terminer.

Résultats

La fenêtre Console s’affiche avec une liste des NetWorker Servers.

Configuration de la liste des administrateurs NetWorker ServerLe logiciel NetWorker Server octroie un accès administrateur par défaut à l’utilisateur rootsur un NetWorker Server Unix et aux membres du groupe d’administrateurs Windows surun NetWorker Server Windows. Un accès administrateur accorde à l’utilisateur tous lesprivilèges EMC NetWorker requis pour modifier la configuration d’un NetWorker Server.

Avant de commencer

Ouvrez une session sur le serveur NetWorker en tant qu'administrateur sous Windows ouen tant que root sous UNIX.

Lorsque le serveur NMC et NetWorker Server résident sur le même hôte, NetWorker Serverajoute automatiquement le propriétaire du processus gstd et l’utilisateur administrateurNMC à la liste des administrateurs du NetWorker Server. Lorsque le serveur de Console etNetWorker Server résident sur des hôtes séparés, vous devez ajouter le propriétaire duprocessus gstd et l’utilisateur administrateur NMC à la liste des administrateurs duNetWorker Server.Ajoutez le compte administrateur NMC à l’attribut Liste des administrateurspour activer l’utilisateur administrateur NMC et lui permettre d’administrer et de surveillerle NetWorker Server. Le propriétaire du processus gstd est l’utilisateur qui démarre leprocessus gstd sous UNIX ou le service EMC TPS sous Windows. Par défaut, lepropriétaire du processus est l’utilisateur SYSTEM sous Windows et l’utilisateur root sousUNIX.

Procédure

1. Depuis une invite de commande, utilisez la commande nsraddadmin pour ajouter lepropriétaire du processus gstd à la liste des administrateurs du NetWorker Server.

Sous Windows, saisissez : nsraddadmin -u "user=SYSTEM, host=NMC_host"Sous UNIX, saisissez : nsraddadmin -u "user=root, host=NMC_host"


Configuration de la liste des administrateurs NetWorker Server 17

2. Ajoutez l’utilisateur administrateur NMC à l’attribut Liste des administrateurs sur leNetWorker Server : nsraddadmin -u "user=administrator, host=NMC_host"

où NMC_host désigne le nom d’hôte du serveur NMC.

Configuration de l’accès des utilisateurs aux Networker Servers dans NMCLe serveur NMC vous permet de restreindre ou d’autoriser l’accès à un Networker Serveren fonction du nom d’utilisateur NMC. Les demandes envoyées au NetWorker Server viala fenêtre Administration de NetWorker proviennent toujours du serveur NMC. Lesprivilèges attribués à un utilisateur NMC sur le NetWorker Server sont basés sur lesentrées présentes dans l’attribut Users de la ressource Groupe d’utilisateurs sur leNetWorker Server.

Le serveur NMC contrôle la façon dont l’utilisateur NMC accède à un NetWorker Servergéré. Lorsque vous activez l’authentification utilisateur pour l’option système NetWorkersur le serveur NMC, vous pouvez accorder et limiter l’accès et les privilèges sur leNetWorker Server pour chaque compte utilisateur NMC. Lorsque vous désactivezl’authentification utilisateur pour l’option NetWorker, les demandes d’accès auNetWorker Server proviennent du propriétaire du processus gstd sur le serveur NMC.Tous les utilisateurs NMC qui accèdent au NetWorker Server ont les mêmes privilèges etdroits d’accès que ceux attribués au compte du propriétaire du processus gstd. Leserveur NMC active l’authentification utilisateur pour l’option système NetWorker pardéfaut. Lorsque vous activez cette option, le logiciel du serveur NMC crée une connexionréseau séparée du serveur NMC à un NetWorker Server pour chaque utilisateur NMCayant une fenêtre Administration ouverte sur ce serveur. Les connexions réseausupplémentaires peuvent nécessiter un accès à des ports de service de pare-feusupplémentaires.

Lorsque vous ne définissez pas l’authentification utilisateur pour l’option systèmeNetWorker Server, il existe une seule connexion réseau du serveur NMC au NetWorkerServer géré.

NetWorker prend en charge l’utilisation de l’authentification native NMC ou del’authentification LDAP/AD pour limiter ou autoriser l’accès aux serveurs NMC et auxNetWorker Servers.

Modification de l’authentification de l’utilisateur pour l’option système NetWorkerSuivez ces étapes pour déterminer la manière dont le serveur NMC contrôle le compteutilisateur qui demande un accès au NetWorker Server.

Procédure

1. Dans la fenêtre Console, cliquez sur Paramétrage.

2. Dans le menu Paramétrage, sélectionnez Options du système.

3. Définissez l’option Utiliser l’authentification pour NetWorker.

l Lorsque cette option est activée, le nom d’utilisateur NMC détermine le niveaud’accès de l’utilisateur au NetWorker Server.

l Lorsque cette option est désactivée, l’ID utilisateur du propriétaire du processusgstd détermine le niveau d’accès de l’utilisateur au NetWorker Server.

4. Cliquez sur le bouton OK.

Configuration de l’authentification NMC-based nativeL’authentification native basée sur NMC utilise un datastore sur l’hôte du serveur NMCpour authentifier les utilisateurs NMC. Le serveur NMC maintient en conditionopérationnelle les noms d’utilisateur et les mots de passe NMC. Lorsque vous vous



connectez à la Console NMC pour la première fois, l’assistant de configuration NMC créeun compte administrateur NMC.

Une configuration supplémentaire n’est pas requise pour activer l’authentification nativebasée sur NMC mais vous pouvez ajouter de nouveaux comptes utilisateur NMC, modifierles affectations de rôle de la Console et gérer les utilisateurs NMC existants.

Ajout d’utilisateurs NMC

Effectuez les opérations suivantes pour ajouter d’autres utilisateurs NMC lorsque leserveur NMC utilise l’authentification pour la connexion NMC native.

Avant de commencer

Connectez-vous au serveur NMC en tant qu’administrateur de la sécurité de la Console.Le compte administrateur est un administrateur de la sécurité de la Console.

Procédure


2. Dans le volet de gauche, cliquez avec le bouton droit sur Utilisateurs, puissélectionnez Nouveau.

La boîte de dialogue Créer un utilisateur s’affiche.

3. Entrez un nom d'utilisateur.

Le nom d'utilisateur ne doit pas :

l Dépasser 64 caractères.

l Utiliser des espaces, ni aucun des caractères suivants : : < > /

l Utilisez des caractères ASCII dont la valeur est inférieure ou égale à 32.

l Commencez un nom d'utilisateur par un trait de soulignement (_).

4. (Facultatif) Entrez le nom complet de l’utilisateur et une description de l’utilisateur.

5. Sélectionnez les Rôles d'utilisateur de la Console.

6. Entrez le mot de passe de l’utilisateur.

Veillez à ce que votre mot de passe respecte les exigences suivantes :

l contient un minimum de huit caractères ;

l est différent du nom d’utilisateur.

Si vous effectuez une mise à niveau à partir d’une version précédente de NetWorkerqui n’applique pas ces exigences en matière de mot de passe, NetWorker appliqueces conditions lorsque vous tentez de modifier le mot de passe.

7. Dans l'attribut Confirmer le mot de passe, saisissez à nouveau le mot de passe.

8. Cliquez sur OK.

Modification des utilisateurs NMC

Vous pouvez modifier le mot de passe, les informations descriptives et les rôles d’uncompte utilisateur NMC existant.

Avant de commencer


Procédure



Configuration de l’accès des utilisateurs aux Networker Servers dans NMC 19

2. Dans le volet de gauche, cliquez sur Utilisateurs.

3. Cliquez avec le bouton droit de la souris sur un utilisateur et sélectionnez Propriétés.

4. Sous l’onglet Identification, modifiez les attributs comme nécessaire.

Suppression d’un utilisateur NMC

Cette section décrit la procédure de suppression d’utilisateurs NMC. Vous ne pouvez passupprimer l’utilisateur possédant les droits d’administrateur.

Procédure

1. Connectez-vous au serveur de Console en tant qu’Administrateur de la sécurité de laConsole.

L'administrateur NMC est un Administrateur de la sécurité de la Console.



4. Cliquez avec le bouton droit de la souris sur un utilisateur, puis sélectionnezSupprimer.

5. Cliquez sur Oui pour confirmer la suppression.

Si l’utilisateur avait enregistré des rapports personnalisés, une boîte de dialogues’affiche et invite à saisir le nom de l’utilisateur auquel ces rapports doivent êtreréaffectés. Sinon, les rapports peuvent être supprimés.

Réinitialisation du mot de passe administrateur NMC

Utilisez la variable d’environnement GST_RESET_PW pour réinitialiser le mot de passe duCompte administrateur NMC .

Réinitialisation du mot de passe administrateur pour un serveur NMC sous WindowsUtilisez l’applet Système du Panneau de configuration pour ajouter lavariableGST_RESET_PW et définir le mot de passe administrateur.

Procédure

1. Dans l’onglet Avancé de l’applet Système, sélectionnez Variables d’environnement.2. Créez une nouvelle variable système.

a. Dans le champ Nom de variable, spécifiez gst_reset_pw.

b. Dans le champ Valeur de variable, indiquez 1.3. Redémarrez le service EMC GST.

Le mot de passe administrateur du serveur NMC est réinitialisé au démarrage duservice EMC GST.

4. Utilisez un navigateur pour vous connecter au serveur NMC. Lorsque vous y êtesinvité, entrez administrateur dans les champs Nom d’utilisateur et Mot de passe.

5. Revenez à la fenêtre Variables d’environnement dans l’applet Système et supprimezla variable d’environnement GST_RESET_PW.

Cette étape empêche la réinitialisation du mot de passe à chaque démarrage duservice EMC GST.

Réinitialisation du mot de passe administrateur pour un serveur NMC sous UNIXUtilisez la variable d’environnement GST_RESET_PW pour réinitialiser un mot de passeadministrateur perdu ou oublié.



Avant de commencer

Effectuez les étapes ci-après en tant qu’utilisateur root.

Procédure

1. Attribuez à GST_RESET_PW une valeur non nulle en utilisant la commande appropriéepour le shell.

Par exemple, dans le shell ksh, saisissez la commande suivante :

export GST_RESET_PW= “non_null_value”2. Exécutez l’une des commandes suivantes pour interrompre le processus du serveur

NMC :

l Solaris et Linux /etc/init.d/gst stopl AIX : /etc/rc.gst stop

3. Exécutez l’une des commandes suivantes pour démarrer le processus du serveurNMC :

l Solaris et Linux /etc/init.d/gst startl AIX : /etc/rc.gst start

Le mot de passe administrateur du serveur NMC est réinitialisé au démarrage duservice EMC GST.

4. Utilisez un navigateur pour vous connecter au serveur NMC. Lorsque vous y êtesinvité, entrez administrateur dans les champs Nom d’utilisateur et Mot de passe.

5. Réattribuez à GST_RESET_PW une valeur null en utilisant la commande appropriéepour le shell.

Par exemple, dans le shell ksh, saisissez la commande suivante :

export GST_RESET_PW=

Cette étape empêche la réinitialisation du mot de passe à chaque démarrage duservice EMC GST.

Configuration de l’authentification des autorités LDAP et ADLorsque vous configurez le serveur NMC pour authentifier les utilisateurs à l’aide d’uneautorité d’authentification externe, connectez-vous au serveur NMC avec les nomsd’utilisateur et les mots de passe gérés par un protocole LDAP (Lightweight DirectoryAccess Protocol), un protocole LDAPS (Lightweight Directory Access Protocol over SSL),ou un serveur Microsoft Active Directory (AD). Vous contrôlez les privilèges d’utilisateurpar le mappage des rôles d’utilisateur ou noms d’utilisateur LDAP ou AD vers les rôlesd’utilisateur de NMC. Il n’est pas nécessaire d’ajouter des noms et des mots de passeutilisateur au serveur NMC.

Le logiciel NetWorker distribue automatiquement le fichier de configuration LDAP ou ADdu serveur NMC sur les NetWorker Severs sélectionnés. Les NetWorker Servers gérés sontainsi automatiquement mis en mode LDAP ou AD.

Lorsqu’un utilisateur LDAP ou AD se connecte au serveur NMC et se connecte à unNetWorker Server :

l Le NetWorker Server effectue une recherche pour obtenir le groupe LDAP ou ADauquel l’utilisateur authentifié par le système d’exploitation appartient, dansl’autorité externe. Le NetWorker Server n'authentifie pas l'utilisateur par rapport àl'autorité LDAP.



l Les privilèges attribués à un utilisateur sur le NetWorker Server sont basés sur lesentrées d’utilisateur ou de groupe LDAP présentes dans l’attribut Rôles externes de laressource Groupe d’utilisateurs sur le NetWorker Server. Gestion des groupesd’utilisateur à la page 49 vous fournit davantage d’informations sur la ressourceGroupe d’utilisateurs.

Préparation des serveurs NMC et NetWorker pour LDAPS

Avant de configurer les serveurs NMC et NetWorker pour utiliser LDAPS, assurez-vousqu’une copie locale du certificat CA, du certificat client et de la clé client se trouvent dansle même chemin de système de fichiers, sur chaque serveur NMC et NetWorker Server.

Avant de commencer

Assurez-vous que les certificats LDAPS utilisent le format PEM.

Lorsque le système d’exploitation du serveur NMC et d’un NetWorker Server diffèrent,effectuez les opérations suivantes pour vous assurer que chaque hôte peutcommuniquer avec le serveur LDAP.

Procédure

1. Créez un répertoire sur le serveur NMC pour stocker les fichiers de certificat :

l Sur un serveur NMC UNIX, créez un sous-répertoire pour les certificats dans lerépertoire NMC_installation_directory/cst. Par exemple, sur un serveurNMC Solaris, créez un sous-répertoire appelé corpldap dans le répertoire /opt/LGTOnmc/cst.

l Sur un serveur NetWorker UNIX, créez un sous-répertoire pour les certificats dansle répertoire /opt/nsr/cst . Par exemple, créez un sous-répertoire appelécorpldap dans le répertoire /opt/nsr/cst.

l Sur un serveur NMC Windows, créez un sous-répertoire pour les certificats dans lerépertoire NMC_installation_directory\cst . Par exemple, créez unsous-répertoire appelé corpldap dans le répertoire C:\Program Files\EMCNetWorker\Management\GST\cst.

l Sur un serveur NetWorker Windows, créez un sous-répertoire pour les certificatsdans le répertoire NetWorker_installation_directory\cst. Parexemple, créez un sous-répertoire appelé corpldap dans C:\Program Files\EMC NetWorker\nsr\cst.

2. Copiez le certificat CA dans le nouveau sous-répertoire de chaque hôte qui utiliseraLDAPS. Si la configuration LDAPS requiert un certificat côté client, copiez le certificatclient et la clé client dans le nouveau répertoire de chaque hôte.

3. Pour sécuriser le sous-répertoire, vous pouvez également, si vous le souhaitez, limiterl’accès au répertoire.

Pour un hôte UNIX, assurez-vous que le compte root sous UNIX a accès au répertoire.Pour un hôte Windows, assurez-vous que les comptes Administrateur et Systèmelocal ont accès au répertoire.

Configuration de l’authentification LDAP et AD

Une fois que vous vous êtes connecté au serveur de Console pour la première fois et avezconfiguré le compte administrateur basé sur l’authentification NMC native, vous pouvezconfigurer le serveur NMC pour utiliser l’authentification LDAP, LDAPS ou AD.



Avant de commencer

Connectez-vous au serveur NMC avec un compte utilisateur qui a le rôle Administrateurde la sécurité de la Console. L'administrateur NMC se voit attribuer le rôled'administrateur de la sécurité de la Console par défaut.

Procédure

1. Dans le menu Paramétrage, sélectionnez Configurer l'authentification.

2. Dans la fenêtre Sélectionner la méthode d’authentification, sélectionnez Référentielexterne.

3. Cliquez sur Ajouter pour ajouter une nouvelle autorité d’authentification externe.

4. Définissez les attributs LDAP ou AD pour votre configuration dans la rubriqueParamètres. Le tableau ci-dessous résume les différentes utilisations possibles etdéfinit chaque attribut.

Tableau 2 Paramètres de configuration de l’autorité

Nom du paramètre Définition du paramètre Informations deconfiguration

Nom de l'autorité Nom descriptif du serveur LDAP ouAD.

Obligatoire.

Ce champ est défini parl'utilisateur Si vous avezconfiguré les répertoires decertificat LDAPS, assurez-vousque le nom de l’autoritécorrespond au nom du sous-répertoire que vous avez créésur le serveur NMC et leNetWorker Server.

Par exemple, corpldap

Nom de serveur dufournisseur

Nom d'hôte ou adresse IP duserveur LDAP ou AD.

Obligatoire.

Pour LDAPS, assurez-vous quevous indiquez le nom d’hôteexactement tel qu’il apparaîtdans le fichier ca.cert. Parexemple, si le fichier ca.certcontient le FQDN du serveurLDAPS, vous devez spécifier le

nom FQDN dans le champ Nomdu serveur du fournisseur.

Nom unique Nom unique du compte LDAP ouAD qui est utilisé pour effectuerdes opérations telles que larecherche d’utilisateurs et degroupes dans la hiérarchie LDAPou AD.

Obligatoire.

Spécifiez un compte, sur leserveur LDAP ou AD, quidispose d’un accès total enlecture au répertoire à partirduquel le serveur LDAP ou ADaccède à ses données.

Mot de passe Mot de passe du compte LDAP ouAD.

Obligatoire.



Tableau 2 Paramètres de configuration de l’autorité (suite)


Chemin de rechercheutilisateur

Nom unique à utiliser pourrechercher des utilisateurs sur leserveur LDAP ou AD.

Obligatoire.

Chemin de recherche dugroupe

Nom unique à utiliser pourrechercher des groupes sur leserveur LDAP ou AD.

Obligatoire.

Attribut Nom du groupe Identifie le nom de groupe LDAP ouAD dans le nom unique du

chemin de rechercheutilisateur.

Obligatoire.Valeur par défaut : cn

Expiration du délai LDAP(millisecondes)

Expiration du délai pour les appelsLDAP ou AD.

Obligatoire.

La valeur est comprise entre 0et

2 000 000 000 ms.

Une valeur égale à 0 indiqueque les appels ne dépasserontjamais le délai d’attentemaximal.

Valeur par défaut : 30 000

Attribut ID utilisateur L’ID utilisateur associé auxutilisateurs dans le nomunique du chemin de rechercheutilisateur.

Obligatoire.

Pour LDAP, cet attribut estgénéralement uid.

Pour AD, cet attribut estgénéralement cn.

Valeur par défaut : uid

Classe d’objets utilisateur La classe d’objets qui identifie lesutilisateurs dans le nomunique défini dans le cheminde recherche utilisateur.

Obligatoire.

Classe d’objets du groupe La classe d’objets qui identifie lesgroupes dans la hiérarchie LDAPou AD du nom unique défini dans

le chemin de rechercheutilisateur.

Obligatoire.

Pour LDAP, utilisezgroupOfNames ougroupOfUniqueNames selon laconfiguration.

Pour AD, utilisez group.

Valeur par défaut :groupOfUniqueNames.

Attribut Membre dugroupe

L’appartenance au groupe desutilisateurs dans le nomunique défini dans le cheminde recherche utilisateur.

Obligatoire.

Pour LDAP :





l Si la classe d’objets dugroupe est groupOfNames,l’attribut est généralementmember.

l Si la classe d’objets dugroupe estgroupOfUniqueNames,l’attribut est généralementuniquemember.

Pour AD la valeur estgénéralement member.

La valeur par défaut estuniquemember.

Remarque

NetWorker ne peut pas valider

l’attribut Group Member.Assurez-vous que vous indiquezla valeur correcte dans l’attribut

Group Member.

Niveau de débogage LDAP Niveau des messages dedébogage à consigner dans lefichier gstd.raw.La valeur par défaut est 0.

Modifiez cette valeur à 1uniquement à des fins derésolution des problèmes.

Protocol Protocole de communication entrele NetWorker Server et le serveurd’authentification.

Pour LDAP ou AD, sélectionnezLDAP.

Pour les communicationssécurisées, sélectionner LDAPS.

Certificat de serveur(LDAPS uniquement)

Le chemin d’accès complet pour lecertificat CA sur le serveur NMC.

Requis pour LDAPS. Lorsque leserveur NMC et le NetWorkerServer sont sur différentesplate-formes, utilisez une barreoblique pour spécifier le chemind’accès.

Quelques exemples : C:/Program Files/EMCNetWorker/Management/GST/cst/corpldap/ca.cert

Certificat client (LDAPSuniquement)

Le chemin d’accès complet pour lecertificat Client sur le serveur NMC.

Requis pour LDAPS lorsque leserveur LDAPS requiert uncertificat client.





Lorsque le serveur NMC et leNetWorker Server sont surdifférentes plate-formes,utilisez une barre oblique pourspécifier le chemin d’accès.

Quelques exemples : C:/Program Files/EMCNetWorker/Management/GST/cst/corpldap/client.cert

Clé client (LDAPSuniquement)

Le chemin d’accès complet pour laclé client sur le serveur NMC.

Requis pour LDAPS lorsque leserveur LDAPS requiert uncertificat client.

Lorsque le serveur NMC est unhôte Windows, utilisez unedouble barre oblique inversepour spécifier le chemind’accès.

Quelques exemples : C:/Program Files/EMCNetWorker/Management/GST/cst/corpldap/client.key

Valeur de port Numéro de port du serveur LDAP. Obligatoire.

Valeur par défaut : 389

5. Cliquez sur Suivant.

Résolution des erreurs d’authentification à la page 32 décrit les messages d’erreurcourants susceptibles d’apparaître.

6. Dans le champ Rôles externes, spécifiez les utilisateurs et le groupe LDAP ou AD àattribuer au rôle Administrateur de la sécurité de la Console NMC.

7. Cliquez sur Suivant.

Si vous spécifiez un utilisateur ou un groupe non valide sur le serveur LDAP ou AD, lemessage suivant s’affiche :

Rôle externe non valide8. Dans la fenêtre Fichier de configuration de l’autorité distribuée, sélectionnez les

NetWorker Servers qui utiliseront LDAP ou AD. Cette action copie le fichier deconfiguration LDAP du serveur de Console vers le répertoireNetWorker_install_path\nsr\cst sur un NetWorker Server sous Windows oule répertoire NetWorker_install_path/nsr/cst sur un NetWorker Server sousUNIX Le serveur NMC est sélectionné par défaut.

9. Cliquez sur Distribuer.



Si la valeur spécifiée dans le champ Nom unique n’est pas valide, le message d’erreursuivant s’affiche :

Échec de validation de l'autorité. Code d’erreur : -8, message : Échec de la recherche du nom d'utilisateur.

Pour résoudre ce problème, revenez à la fenêtre Configuration de l’autorité, corrigezla valeur dans le champ Nom unique, puis tentez à nouveau de distribuer le fichier deconfiguration de l’autorité.

10.Dans la fenêtre Surveiller la progression de la distribution, consultez la progressionde la distribution du fichier de configuration. Assurez-vous que la distribution dufichier de configuration de l'autorité est réussie pour tous les NetWorker Servers.

11.Cliquez sur Ok.

Connexion au serveur NMC après la configuration LDAP ou ADLa prochaine fois que vous utiliserez un client NMC pour vous connecter au serveur NMC,indiquez l’utilisateur LDAP ou AD approprié. Si vous ne pouvez pas vous connecter auserveur NMC, revenez au mode d’authentification NMC natif et reconfigurezl’authentification AD/LDAP.

Pour plus d’informations, consultez le Guide d’installation de NetWorker.Tenez compte des points suivants :

l Lorsque l’assistant distribue le fichier d’autorité, le processus ajoute un utilisateurNMC authentifié par LDAP et AD, doté du rôle Administrateur de la sécurité de laConsole NMC, au groupe d’utilisateurs Administrateurs de la sécurité sur tous lesNetWorker Servers pour lesquels il possède le privilège de gestion.

Remarque

Les membres du groupe d'utilisateurs Administrateurs de la sécurité sont autorisés àmodifier uniquement les ressources Serveur Audit Log et Groupe d'utilisateurs. Lasection Modifier les privilèges du groupe d’utilisateurs à la page 49 décrit commentajouter un utilisateur LDAP ou AD créé manuellement à un Groupe d’utilisateurs surNetWorker Server.

l Lorsqu’un utilisateur LDAP ou AD se connecte pour la première fois, le processus deconnexion crée automatiquement un compte utilisateur NMC pour l’utilisateur.

l Lorsqu’un utilisateur LDAP ou AD se connecte pour la première fois au serveur NMC,ce dernier crée automatiquement un compte utilisateur NMC pour l’utilisateur etassigne à l’utilisateur NMC le même rôle NMC que le groupe LDAP ou AD.

l L’authentification LDAP et AD ne prend pas en charge le recours au nom d’utilisateurde l’administrateur.

l Le serveur NMC ne peut pas effectuer les fonctions administratives LDAP et AD. Poureffectuer des fonctions administratives LDAP et AD telles que la création de nouveauxutilisateurs et groupes du domaine, utilisez les outils LDAP et AD adaptés.

l Le champ Rôles externes pour le groupe d’utilisateurs Administrateur de sécurité estvide jusqu’à la première connexion d’un utilisateur LDAP ou AD.

l La section Résolution des erreurs de connexion à la page 36 fournit desinformations détaillées pour la résolution des messages d’erreur de connexionclassiques.

Exemple : Configuration d'une autorité LDAPDans cet exemple, un outil de gestion LDAP tiers, LDAPAdmin, est utilisé pour afficher lespropriétés de la configuration LDAP.

La figure suivante fournit un exemple des valeurs requises pour spécifier les attributssuivants :



l Nom de serveur du fournisseur

l Nom unique

l Attribut ID utilisateur

l Chemin de recherche utilisateur : une combinaison du nom unique AD et du nom deconteneur utilisateur.

l Classe d’objets utilisateur

la Figure 1 Conteneur utilisateur LDAP

La figure suivante fournit un exemple de valeurs associées aux attributs de groupe LDAPsuivants :

l Chemin de recherche de groupe : une combinaison du nom unique et du nom deconteneur groupe.

l Attribut Membre du groupe

l Classe d’objets du groupe

la Figure 2 Conteneur groupe LDAP

L’image suivante fournit un exemple d’écran Gérer les autorités d’authentification, avecles détails de configuration associés à une installation sur serveur LDAP spécifiée dansles champs d’attributs.



la Figure 3 Gérer les valeurs Authentication Authorities pour une configuration LDAP

Exemple : Configuration d'une autorité ADDans cet exemple, le programme Active Directory Services Interfaces Editor (ADSI Edit) estutilisé pour afficher les propriétés de la configuration AD.

L’image suivante fournit un exemple des valeurs requises pour spécifier les champsd’attributs suivants :

l Nom unique : une combinaison du nom unique AD, du conteneur utilisateur etl’attribut ID utilisateur.

l Chemin de recherche utilisateur : une combinaison du nom unique et du nom deconteneur utilisateur.

l Classe d’objets utilisateur

l Attribut ID utilisateur

la Figure 4 ADSI Edit pour conteneur utilisateur



La figure suivante fournit un exemple de valeurs associées aux attributs de groupe ADsuivants :

l Nom de service du fournisseur

l Conteneur de groupe

l Attribut Membre du groupe

l Classe d’objets du groupe

l Chemin de recherche de groupe : une combinaison du nom unique et du nom deconteneur groupe.



la Figure 5 ADSI Edit pour conteneur groupe

La figure suivante fournit un exemple d’écran Gérer les autorités d’authentification, avecles détails de configuration associés à une installation sur serveur AD spécifiée dans leschamps d’attributs.



la Figure 6 Valeurs Gérer les autorités d’authentification pour la configuration AD

Résolution des messages d’erreur de configuration de l’authentification

Cette rubrique fournit une liste de causes possibles et de solutions pour les messagesd’erreur de configuration de l’authentification.

La définition de l'autorité doit spécifier un nom d'attribut d'autorité externeS'affiche dans l'assistant de Configuration de l'authentification lorsque le champ Nomde l'autorité est vide.

Échec de la liaison LDAP en raison d'informations d'identification non validesS'affiche dans l'assistant de Configuration de l'authentification lorsque :l L'utilisateur LDAP ou AD spécifié dans le champ Nom unique est incorrect.l Le mot de passe spécifié pour l'utilisateur LDAP ou AD est incorrect.

Échec de la propagation des rôles externes au NetWorker ServerS’affiche lorsque la distribution du fichier d’autorité échoue pour un NetWorker Server carl’utilisateur NMC utilisé pour distribuer le fichier n’est pas un membre du grouped’utilisateurs Administrateurs de l’application sur le NetWorker Server.

Pour résoudre ce problème :1. Fermez l'assistant de Configuration de l'authentification.2. Connectez-vous au NetWorker Server avec un utilisateur NMC membre du groupe

d’utilisateurs Administrateurs de la sécurité de l’application.3. Ajoutez le groupe LDAP ou AD approprié au groupe d'utilisateurs Administrateurs de

l'application.4. Lancez l'assistant de Configuration de l'authentification et configurez la nouvelle

autorité LDAP ou AD.

Aucune entrée dans la hiérarchie ‘ou=orgname, dc=domain_component1,dc=domain_component2 dc=domain_component3 ...Ces messages d’erreur s’affichent dans la fenêtre Configuration de l’authentificationlorsque la valeur de l’attribut référencée dans le message d’erreur est incorrecte ou



lorsque l’autorité LDAP ou AD ne peut pas être validée par la valeur de l’attribut. Letableau suivant décrit les messages qui s’affichent et l’attribut à corriger.

Tableau 3 Erreurs de hiérarchie dans l'assistant de Configuration de l'authentification

Aucune entrée dans la hiérarchie‘ou=orgname,dc=domain_component1,dc=domain_component2dc=domain_component3 ..

Ce message d'erreur s'affiche dans l'assistantde Configuration de l'authentification lorsquela valeur définie ...

...appartient à la classe d'objets utilisateur"user_object_class"

...dans l'attribut Classe d'objets utilisateur n'est pasvalide pour la valeur définie dans l'attribut Cheminde recherche utilisateur.

...a l'attribut Nom de groupe "groupname" ...dans le champ Attribut Nom de groupe n'est pasvalide sur le serveur LDAP ou AD.

...a l'attribut ID utilisateur "‘user_id" ...dans le champ Attribut ID utilisateur n'est pasvalide sur le serveur LDAP ou AD.

...appartient à la classe d'objets"group_object_class"

...dans le champ Classe d'objets de groupe n'estpas valide sur le serveur LDAP ou AD.

...a l'attribut Appartenance au groupe"group_member_attribute"

...dans le champ Attribut Appartenance au groupen'est pas valide sur le serveur LDAP ou AD.

La hiérarchie de chemin utilisateurou=orgname,dc=domain_component1,dc=domain_component2’ dc=domain_component3’n’existe pas ou est videS'affiche dans l'assistant de configuration de l'authentification lorsque la valeur définiedans l'attribut Chemin de recherche utilisateur n'est pas valide sur le serveur LDAP ouAD.

Aucun chemin de recherche LDAP pour les noms d’utilisateurS'affiche dans l'assistant de configuration de l'authentification lorsque la valeur définiedans l'attribut Chemin de recherche utilisateur n'est pas valide sur le serveur LDAP ouAD.

La hiérarchie de chemin groupeou=orgname,dc=domain_component1,dc=domain_component2’ dc=domain_component3’n’existe pas ou est videS'affiche dans l'assistant de configuration de l'authentification lorsque la valeur définiedans l'attribut Chemin de recherche groupe n'est pas valide sur le serveur LDAP ou AD.

Erreur lors de l'interrogation de groupes d'utilisateursS'affiche dans l'assistant de configuration de l'authentification lorsque la valeur définiedans l'attribut Chemin de recherche groupe n'est pas valide sur le serveur LDAP ou AD.

Échec de la liaison LDAP car le serveur est en panneS'affiche dans l'assistant de Configuration de l'authentification lorsque :

l Un numéro de port non valide est défini pour le serveur LDAP, LDAPS ou AD.

l Le nom d’hôte spécifié dans le champ Nom de serveur du fournisseur est incorrect oule nom d’hôte ne peut pas être résolu.

l Lorsque le serveur LDAPS requiert un certificat mais que le champ fichier de certificatdu serveur ou fichier de certificat du client est vide.



networker_server (Autorisation refusée, l’utilisateur "LDAP_user" sur "NMC_server" n’apas le privilège "Configurer NetWorker" OU "Modifier les paramètres de l’application"pour configurer cette ressource) - NSRCe message d'erreur d'affiche dans deux situations :

l Pendant la distribution du fichier de configuration de l’autorité à un nouveauNetWorker Server, le nouveau NetWorker Server ne parvient pas à authentifier lecompte d’utilisateur LDAP.

Pour résoudre ce problème, configurez le serveur NMC pour qu’il utilisel’authentification NMC-based native, puis reconfigurez les autorités LDAP ou AD etdistribuez-les à tous les serveurs nécessaires.

Par exemple :

1. Dans la fenêtre Distribuer le fichier de configuration de l'autorité, cliquez surTerminer.

2. Lancez l'assistant de Configuration de l'authentification à nouveau.

3. Dans la fenêtre Sélectionner la méthode d’authentification, cliquez sur Suivant.

4. Enregistrez les valeurs dans chaque champ d'attribut pour les autorités LDAP ouAD configurées, puis cliquez sur Précédent.

5. Dans la fenêtre Sélectionner la méthode d’authentification, sélectionnezNetWorker Management Console native, puis cliquez sur Suivant.

6. Sélectionnez tous les serveurs avec l’état Mise à jour nécessaire, puis cliquez surDistribuer.

7. Cliquez sur Terminer.

8. Lancez l’assistant de Configuration de l’authentification de connexion à nouveauet créez à nouveau la configuration d’autorité LDAP ou AD.

l Lorsqu’un utilisateur LDAP ou AD qui n’est pas membre du groupe d’utilisateursAdministrateurs de l’application ou du groupe d’utilisateurs Administrateurs de lasécurité tente de modifier la ressource de serveur (NSR) sur un NetWorker Server.Pour résoudre ce problème :

1. Fermez les fenêtres de navigation du NetWorker Server et du serveur NMC.

2. Connectez-vous au serveur NMC avec un compte LDAP ou AD membre du grouped’utilisateurs Administrateurs de l’application ou du groupe d’utilisateursAdministrateurs de la sécurité.

Échec de récupération des attributs de contrôle de l’authentification depuis leNetWorker Server [NetWorker_server]S’affiche lorsqu’un utilisateur LDAP ou AD qui n’est pas membre du groupe d’utilisateursAdministrateurs de la sécurité sur le NetWorker Server tente de distribuer le fichier deconfiguration de l’autorité sur le nouveau NetWorker Server.

Pour résoudre ce problème :


2. Fermez la fenêtre de navigation du serveur NMC.

3. Connectez-vous au serveur NMC avec un utilisateur LDAP ou AD membre du grouped’utilisateurs Administrateurs de la sécurité sur le NetWorker Server. Les utilisateursLDAP ou AD auxquels est attribué le rôle Administrateur de la sécurité de la consolesur le serveur NMC sont membres du groupe d’utilisateurs Administrateurs de lasécurité sur le NetWorker Server par défaut.



Remarque

Les membres du groupe d’utilisateurs Administrateurs de la sécurité sur unNetWorker Server ont uniquement l’autorisation de modifier le serveur Audit LogSecurity et les ressources Groupe d’utilisateurs. Modification des privilèges dugroupe d’utilisateurs à la page 49 décrit comment modifier l’appartenance à ungroupe d’utilisateurs sur un NetWorker Server.

Impossible de valider l’autorité externe. Impossible d’obtenir l’état du fichier(clientCertificate) "full_path_to_client_certificate" : Ce fichier ou répertoire n’existe pas.Fournit un chemin d’accès valide ou copie les certificats/la clé sur le chemin d’accèsspécifiéCe message s’affiche lorsque l’assistant tente de distribuer le fichier de configurationd’autorité pour le NetWorker Server, mais que les chemins que vous avez spécifiés pourles fichiers de certificat sont incorrects.

Pour résoudre ce problème :


2. Lancez l'assistant de Configuration de l'authentification à nouveau.

3. Dans la fenêtre Sélectionner la méthode d’authentification, cliquez sur Suivant.

4. Corrigez les chemins dans les champs certificat et relancez la distribution.

Remarque

Pour les chemins Windows, utilisez la barre oblique ( /) dans le chemin d’accès. Parexemple, c:/my_ldap_server.

NSR Could not validate external authority LDAP bind failed because the server is downCe message s’affiche lorsqu’il y a un problème avec le certificat LDAPS.

Pour résoudre les problèmes de certificat LDAPS, utilisez le programme openssl. Pardéfaut, les hôtes Windows ne comprennent pas le programme openssl. La page http://www.openssl.org explique comment obtenir un programme openssl auprès d’unfournisseur tiers.

1. Vérifier que vous pouvez établir une connexion SSL sur le serveur LDAPS en utilisantla copie locale des fichiers de certificat :openssl s_client -connect ldaps_server_name:ssl_port -CAfilefull_path_to_server_certificate -cert full_path_to_client_certificate -keyfull_path_to_client_key_fileoù :

l full_path_to_certificate représente le chemin complet vers le fichier de certificat duserveur sur l’hôte local. Si l’environnement a une hiérarchie des autorités CA,spécifiez le CA racine ou le fichier de certificat qui contient tous les certificatsd’autorité CA.

l full_path_to_certificate représente le chemin complet vers le fichier de certificat duclient sur l’hôte local. Cette option est requise uniquement lorsque LDAPS requiertun certificat client.

l full_path_to_client_key_file représente le chemin complet vers le fichier de clé duclient sur l’hôte local. Cette option est requise uniquement lorsque LDAPS requiertune clé client.



HTTP://WWW.OPENSSL.ORG/RELATED/BINARIES.HTMLHTTP://WWW.OPENSSL.ORG/RELATED/BINARIES.HTML

Dans un autre exemple, le serveur LDAPS, myldaps.emc.com nécessite un certificat CAuniquement. Le fichier de certificat ca.cert se trouve dans le répertoire cst d’unserveur NMC sous Windows. Pour cet exemple, saisissez la commande suivante :

openssl s_client -connect myldaps.emc.com:636 -CAfile “C:\Program Files\EMC NetWorker\Management\GST\cst\ca.cert”

Remarque

Une fois la connexion établie, la commande renvoie le message :

Verify return code: 0 (ok)

Par exemple : Le serveur LDAPS myldaps.emc.com requiert un certificat client et uneclé client. Le fichier de certificat et le fichier clé se trouvent dans le répertoire cstd’un serveur NMC sous Windows. Pour cet exemple, saisissez la commandesuivante :

openssl s_client -connect myldaps.emc.com:636 -CAfile “C:\Program Files\EMC NetWorker\Management\GST\cst\ca.cert” -cert “C:\Program Files\EMC NetWorker\Management\GST\cst\client.cert” -key “C:\Program Files\EMC NetWorker\Management\GST\cst\client.key”

Remarque

Une fois la connexion établie, la commande renvoie le message :

Verify return code: 0 (ok)

2. Si la connexion n’aboutit pas, contactez l’administrateur LDAPS pour demander denouvelles copies des fichiers de certificat. Pour copier manuellement le fichier decertificat CA à partir du serveur LDAP, procédez comme suit :

a. Connectez-vous au serveur LDAPS pour afficher le fichier de certificat du serveur(ca.cert) :

openssl s_client -showcerts -connect ldaps_server_name:ssl_port

Remarque

La commande openssl peut afficher deux certificats. Le deuxième certificat estgénéralement le certificat CA.

b. Assurez-vous que le certificat que vous recevez correspond au certificat CA sur leserveur LDAPS.

Résolutions des erreurs de connexion

Cette section fournit une liste de causes possibles et de solutions pour les messagesd’erreur de connexion à NMC.

Vous n'avez pas les privilèges d'utilisation pour NetWorker Management ConsoleS’affiche quand un compte LDAP ou AD valide essaie de se connecter au serveur NMCmais que le compte n’existe pas sur le serveur NMC ou n’a pas reçu un rôle Console.

Pour résoudre ce problème, créez le compte LDAP ou AD manuellement et essayez devous connecter à nouveau. Ajout d’utilisateurs LDAP ou AD au serveur NMC



manuellement à la page 38 décrit la méthode pour créer des comptes utilisateur LDAPet AD manuellement.

Impossible d’authentifier ce nom d’utilisateur et ce mot de passe, essayez à nouveauS’affiche lorsqu’un utilisateur tente de se connecter au serveur NMC avec :

l Un nom d’utilisateur non reconnu ou un mot de passe incorrect. Pour résoudre ceproblème, assurez-vous d’utiliser une combinaison nom d’utilisateur et mot de passecorrecte pour la méthode d’authentification au serveur NMC configurée.

l Un utilisateur AD pour lequel l’option L’utilisateur doit changer de mot de passe à laprochaine connexion est activée. Pour résoudre ce problème, modifiez le mot depasse avant d’essayer de vous connecter au serveur NMC.

Le nom d'utilisateur spécifié est restreint et ne peut pas être utilisé pour se connecter ausystèmeS’affiche lorsque vous utilisez le nom d’utilisateur Administrateur pour vous connecter auserveur NMC et le serveur NMC utilise l’authentification LDAP ou AD. Un serveur NMC quiutilise l’authentification AD ou LDAP ne prend pas en charge le nom d’utilisateurAdministrateur.

Pour résoudre ce problème, connectez-vous au serveur NMC avec un nom d’utilisateurLDAP ou AD différent.

Gestion des utilisateurs LDAP et AD dans NMCUtilisez la Console NMC pour ajouter, supprimer et gérer manuellement les utilisateursLDAP et AD.

Ajout d’utilisateurs et de groupes LDAP et AD au serveur NMC

Vous pouvez ajouter des utilisateurs et des groupes LDAP et AD au serveur NMC,manuellement ou à l’aide de l’assistant de configuration d’authentification pour laconnexion.

Ajouter des utilisateurs LDAP ou AD avec l’assistant Configuration de l’authentificationde connexionCette méthode permet d’ajouter les utilisateurs LDAP et AD qui doivent appartenir auxgroupes d’utilisateurs Administrateur de sécurité sur les NetWorker Servers gérés.

Avant de commencer

Connectez-vous au serveur NMC avec un utilisateur qui a le rôle Administrateur de lasécurité de la Console.

L’assistant Configuration de l’authentification de connexion attribue automatiquementles nouveaux utilisateurs et groupes LDAP et AD au :

l Rôle Administrateur de la sécurité de la Console sur le serveur NMC.

l Groupes d’utilisateurs Administrateurs de la sécurité sur les NetWorker Servers gérés.

Procédure


2. Dans le menu Configuration, sélectionnez Configuration de l’authentification deconnexion.

3. Dans la fenêtre Sélectionner la méthode d’authentification, sélectionnez Référentielexterne.

4. Sélectionnez le Nom d’autorité approprié, puis cliquez sur Suivant.

5. Dans le champ Rôles externes, spécifiez les nouveaux utilisateurs et groupes LDAP ouAD, puis cliquez sur Suivant.



6. Dans la fenêtre Configuration de l’autorité de distribution, sélectionnez les NetWorkerServers avec l’état Mise à jour nécessaire, puis cliquez sur Distribuer.

7. Dans la fenêtre Surveiller la progression de la distribution, consultez la progressionde la distribution du fichier de configuration. Assurez-vous que la distribution dufichier de configuration est réussie pour tous les NetWorker Servers.

8. Déconnectez-vous du serveur NMC et connectez-vous avec un compte utilisateur dansle nouveau groupe. Résolution des erreurs de connexion LDAP et AD à la page 36décrit la méthode pour résoudre des problèmes de connexion.

Remarque

Les membres du groupe Administrateurs de la sécurité sont autorisés à modifieruniquement le serveur d’Audit Log et la ressource Groupe d’utilisateurs. Modificationdes privilèges du groupe d’utilisateurs à la page 49 décrit la méthode pour ajouterun utilisateur LDAP ou AD créé manuellement à un Groupe d’utilisateurs sur unNetWorker Server.

Ajout d’utilisateurs LDAP ou AD au serveur NMC manuellementUtilisez cette méthode pour ajouter des utilisateurs LDAP ou AD pour gérer le serveurNMC tout en restreignant l’accès à NetWorker Server.

Avant de commencer

Connectez-vous au serveur NMC avec un utilisateur qui a le rôle Administrateur de lasécurité de la Console.

Procédure


2. Dans le volet de gauche, cliquez avec le bouton droit sur Utilisateurs, puissélectionnez Nouveau.

3. Dans l’attribut Nom d’utilisateur, saisissez le nom d’utilisateur LDAP ou AD.

4. Saisissez le nom complet de l’utilisateur LDAP ou AD et une description générale dansles attributs restants (facultatif).

5. Cliquez sur OK.

L’image suivante fournit un exemple de fenêtre Créer un utilisateur.



Remarque

Un utilisateur ou groupe auquel le rôle Administrateur de la sécurité de la Console estattribué manuellement n’est pas automatiquement affecté au groupe d’utilisateursAdministrateurs de la sécurité sur les NetWorker Servers gérés par le serveur NMC. Lasection Modifier les privilèges du groupe d’utilisateurs à la page 49 décrit commentajouter un utilisateur LDAP ou AD créé manuellement à un Groupe d’utilisateurs surNetWorker Server.

Modification d’un utilisateur NMC LDAP ou AD

Une fois que vous avez créé un utilisateur LDAP ou AD et que vous lui avez affecté un rôlede console NMC, vous pouvez modifier les informations descriptives sur l’utilisateur dansla console NMC.

Avant de commencer


Procédure



3. Cliquez avec le bouton droit de la souris sur l’utilisateur et sélectionnez Propriétés.

4. Dans l’onglet Identité, modifiez les attributs si nécessaire.

5. Cliquez sur OK.

Suppression d’un utilisateur NMC LDAP ou AD

Une fois que vous avez avez créé un utilisateur LDAP ou AD et que vous lui avez affectédes rôles de console NMC, vous pouvez le supprimer dans la console NMC.

Avant de commencer


Procédure



3. Cliquez avec le bouton droit sur un nom d’utilisateur, puis sélectionnez Supprimer.

4. Cliquez sur Oui pour confirmer la suppression.

5. Si l’utilisateur avait enregistré des rapports personnalisés, une boîte de dialogues’affiche et invite à saisir le nom d’utilisateur auquel ces rapports doivent êtreréaffectés. Sinon, supprimez les rapports.

6. Si nécessaire, supprimez l’utilisateur du rôle d’utilisateur LDAP sur le serveur LDAP etde tout groupe d’utilisateurs NetWorker.

Autorisation utilisateurLes paramètres d’autorisation des utilisateurs contrôlent les droits ou les autorisationsoctroyés à un utilisateur et permettent d’accéder à une ressource gérée par NetWorker.


Autorisation utilisateur 39

Autorisation du serveur NMCL’utilisateur que vous utilisez pour vous connecter au serveur NMC détermine le niveaud’accès aux serveurs NMC.

Le serveur de Console limite les privilèges de l’utilisateur en fonction de trois rôlesd’autorisation. Vous ne pouvez pas supprimer les rôles ou modifier les privilègesattribués à chaque rôle.

Tableau 4 Groupes d’utilisateurs NMC et privilèges associés

Rôle d'utilisateur Privilèges

Administrateur de lasécurité de laConsole

l Ajouter, supprimer et modifier les utilisateurs NMC.

l Configurer l'authentification, telle que la configuration du serveurNMC pour :

n Utiliser l’authentification LDAP au lieu de l’authentification NMCnative.

n Utiliser l’authentification NMC native au lieu de l’authentificationLDAP.

l Contrôler l’accès des utilisateurs à des applications gérées comme unNetWorker Server.

Administrateurd’application deConsole

l Configurer les options système de la Console.

l Définir les politiques de rétention des médias pour les rapports.

l Consulter des rapports personnalisés.

l Spécifier le NetWorker Server pour sauvegarder la base de donnéesNMC.

l Spécifier un serveur License Manager NetWorker.

l Exécuter l’Assistant de configuration de la Console.

l Toutes les tâches disponibles dans un rôle d’utilisateur de Console.

Utilisateur deConsole

Toutes les tâches, sauf celles mentionnées de façon explicite pourl’Administrateur de la sécurité de Console et l’Administrateurd’application de Console.

Tâches disponibles :

l Ajouter et supprimer des hôtes et des dossiers.

l Ajouter et supprimer des applications gérées pour NetWorker, DataDomain et Avamar.

l Créer et supprimer ses propres rapports.

l Définir les fonctions des applications gérées.

l Gérer un NetWorker Server avec les niveaux de privilèges adaptés.

l Ignorer des événements.

Par défaut, les utilisateurs Administrateurs de la sécurité de la Console sont ajoutés augroupe d’utilisateurs Administrateurs de la sécurité préconfiguré sur chaque NetWorkerServer géré par le serveur de Console. Les membres du groupe des administrateurs desécurité ont uniquement le privilège de modifier le serveur d’Audit Log de sécurité et les



ressources Groupes d’utilisateurs gérées par le serveur de Console. Privilèges de groupesd’utilisateurs à la page 42 résume les privilèges attribués aux utilisateurs dans chaquegroupe d’utilisateurs.

Autorisation du serveurLe NetWorker Server fournit un mécanisme pour autoriser les utilisateurs qui vous permetd’effectuer des opérations à partir d’une invite de commande et à partir de l’interfacegraphique NMC.

Modification de la liste des administrateurs avec NMCLe logiciel NetWorker Server octroie un accès administrateur par défaut à l’utilisateur rootsur un NetWorker Server UNIX et aux membres du groupe d’administrateurs Windows surun NetWorker Server Windows. Un accès administrateur accorde à l’utilisateur tous lesprivilèges EMC NetWorker requis pour modifier la configuration d’un NetWorker Server.NetWorker stocke la liste des administrateurs dans la ressource NSR sur le NetWorkerServer. Modifier la liste des administrateurs avec la Console NMC.

Avant de commencer

Utilisez NMC pour vous connecter au NetWorker Server avec un utilisateur appartenant àun groupe d’utilisateurs Administrateurs d’application ou Administrateurs de base dedonnées.

Procédure

1. Dans la fenêtre Administration, sélectionnez Configuration.

2. Dans le menu Vue, sélectionnez Mode Diagnostic.

3. Cliquez sur le NetWorker Server dans le volet de navigation de gauche et sélectionnezPropriétés.

4. Dans l’attribut Administrator, indiquez les comptes utilisateur qui nécessitent unaccès administration au NetWorker Server dans l’un des formats suivants :

l nom d’utilisateur@nom d’hôtel groupe@nom d’hôtel utilisateur=nom d’utilisateur, hôte=nom d’hôtel groupe=nom de groupe, hôte=nom d’hôte

5. Cliquez sur OK.

Restriction de la vue serveur géré pour un utilisateurPar défaut, les membres du groupe Administrateurs de la sécurité NMC sont ajoutés augroupe d’utilisateurs Administrateurs de la sécurité sur chaque NetWorker Server gérépar le serveur NMC.

Avant de commencer

Connectez-vous au serveur NMC avec un compte auquel est affecté le rôle Administrateurde la sécurité de la console.

Limitez les NetWorker Servers qu’un utilisateur peut afficher et gérer en modifiant lesprivilèges sur l’objet utilisateur.

Procédure




Autorisation du serveur 41

3. Cliquez avec le bouton droit de la souris sur un utilisateur, puis sélectionnezAutorisations. La boîte de dialogue Modifier l’utilisateur apparaît, avec l’ongletPermissions affiché.

4. Pour accorder à un utilisateur les privilèges d'affichage pour différents hôtes, utilisezles touches de direction afin de sélectionner les hôtes autorisés.

5. Cliquez sur OK.

Résultats

Lorsque vous limitez la vue d’un utilisateur, les conséquences suivantes se produisent :

l Dans la fenêtre Events : L’utilisateur consulte uniquement les événements desNetWorker Servers autorisés.

l Dans la fenêtre Enterprise : L’utilisateur consulte tous les dossiers de hiérarchie,mais seuls les NetWorker Servers autorisés apparaissent dans les dossiers.

l Dans la fenêtre Libraries : L’utilisateur ne voit que les périphériques contrôlés par lesNetWorker Servers autorisés.

l Dans la fenêtre Reports : L’utilisateur ne voit que les données de rapport desNetWorker Server.

l Dans la fenêtre Paramétrage :

n L’utilisateur voit les propriétés de tous les utilisateurs en plus de ses proprespropriétés et privilèges.

n L’utilisateur peut modifier ses propres propriétés, mais pas ses privilèges. Seull'Administrateur de la sécurité de la console peut voir et modifier les privilègesd'utilisateur.

Chaque utilisateur peut afficher et gérer différents ensembles de NetWorker Servers et,en conséquence, le contenu des rapports peut varier en fonction des utilisateurs. Parexemple, un rapport récapitulatif de sauvegarde partagée intitulé « Construction de CBackups » affiche des données différentes en fonction des utilisateurs si les privilègesdes utilisateurs incluent des NetWorker Servers différents (et ce, même si le rapport estexécuté par chaque utilisateur en même temps). Cela s'applique à tous les types derapport, qu’ils soient par défaut, personnalisés, privés ou partagés.

Si aucune donnée n’est disponible pour un serveur donné, ce serveur n’apparaîtra dansaucune liste ni aucun rapport, indépendamment des privilèges de l’utilisateur.

Groupes d’utilisateurs de NetWorkerLes groupes d’utilisateurs permettent

EMC® NetWorker® Security 8.2 Guide de configuration · 302-000-703 02 Sécuritéd’EMC ......

Documents

Transcript of EMC® NetWorker® Security 8.2 Guide de configuration · 302-000-703 02 Sécuritéd’EMC ......