转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese

介绍

本系列文章将从头开始为您介绍EMC Avamar 6.1 以及对应的管理方法。

EMC Avamar 通过完整的软件和硬件解决方案快速高效地备份和恢复。Avamar 配备集成式重复数据消除技术，可以方便地对VMware 环境、远程办公室、企业应用程序、LAN/NAS服务器和台式机/笔记本电脑进行快速、完整的每日备份。

EMC Avamar 解决与传统备份相关的各种挑战，为远程办公室、数据中心 LAN 和 VMware 环境提供快速而可靠的备份和恢复。

Avamar 是一款备份和恢复软件，它首先使用获得专利的全局重复数据消除技术来识别数据源中的冗余子文件数据段，将每日备份数据量最高降至原来的1/500，之后再通过网络传输这些数据并将其存储到磁盘。这样，即便在网络拥堵和WAN 链接受限的情况下，公司依然能够执行每日完整备份。

Avamar 的关键优势在于：

·         首先在数据源端对备份数据进行重复数据消除，之后再通过网络传输

·         在现有网络和基础架构上实现快速的每日完整备份

·         将所需的日常网络带宽最高降至原来的 1/500

·         将备份速度最高提升 10 倍

·         能够对动态数据和静态数据进行加密

·         获得专利的 RAIN 技术，可跨节点提供容错并消除单点故障

·         可扩展的网格体系结构

·         由于采用全局重复数据消除技术，使得总备份存储最高减少至原来的 1/50

·         意料之中的每日可恢复性验证

·         基于 Web 的集中化管理

·         简单的一步恢复

·         灵活的部署选项，包括 EMC Corporation Avamar Data Store 产品包

域、客户端和用户

本章继续介绍 Avamar 用户帐户。

了解用户、身份认证和角色

Avamar 中的用户帐户可以管理域或客户端。用户帐户将定义用来授予用户访问Avamar Server 权限的身份认证系统。它还将定义用户的角色，该角色控制用户可执行的操作。下面提供了详细信息：

用户

您可以将用户帐户添加到域或单个客户端。当您将用户帐户添加到某个域时，该帐户可以管理该域及其下面的任何子域。当您将用户帐户添加到单个客户端时，该帐户可以执行该客户端的备份和恢复操作，并且可以在系统中访问属于该客户端的备份。

在 Avamar 中，用户是域或客户端访问列表中的条目。当您将用户帐户添加到Avamar 系统时，意味着您正在向域或客户端用户访问列表添加新条目。请考虑以下示例：

                             

用户“Gretchen”已同时添加到“Accounting”域及其计算机。但是，身份认证系统和角色是不同的。事实上，它们是恰好具有相同用户名的两个完全独立的用户帐户。

Avamar 用户帐户包含以下几方面的信息：

◆      用户名— 用户名取决于身份认证系统，且必须采用身份认证系统接受的格式。例如，内部身份认证系统使用区分大小写的用户名，而 Windows Active Directory 用户名则不区分大小写。用户名不得超过31 个字符。

◆      身份认证系统— 身份认证系统是一个用于授予用户访问 Avamar Server 权限的用户名/ 密码系统。下面的“用户身份认证”部分提供了有关支持的身份认证系统的详细信息。

◆      角色— 角色定义了每个用户帐户允许的操作。下面的“角色”部分提供了有关可用角色类型的详细信息。

用户身份认证

身份认证系统是一个用于授予用户访问 Avamar Server 权限的用户名/ 密码系统。

Avamar 支持三种身份认证系统：

◆      Avamar 内部身份认证

◆      目录服务身份认证

◆      企业身份认证

Avamar内部身份认证

通过 Avamar 内部身份认证，您可以为Avamar 用户帐户定义用户名和密码，且 Avamar 会存储这些信息。用户名区分大小写，且不得超过31 个字符。

目录服务身份认证

当您使用目录服务身份认证来进行身份认证并向 Avamar 用户分配角色时，您可以利用组织中已存在的目录服务。您可以使用任何LDAP v.3 兼容的目录服务，例如Microsoft Active Directory 域服务。此外，您还可以单独使用网络信息服务(NIS)，或将其与 LDAP 服务结合使用。

企业身份认证

通过企业身份认证，Avamar 可以使用主机 Linux 操作系统的可插拔身份认证模块(PAM)库来提供外部身份认证数据库的访问权限。

默认情况下，如果您将用户添加到此 Avamar 版本中的域或客户端，则无法选择企业身份认证域。但是，如果您已升级到本版本且希望继续使用企业身份认证，则可以将系统配置为在添加用户时能够选择企业身份认证。

       Avamar 如何认证用户并分配角色

为了提供与 Enterprise Authentication 的向后兼容性并考虑到用户位于多个LDAP 映射组的可能性，Avamar 将在每次登录尝试时使用以下身份认证和角色分配顺序：

1.     如果用户名采用 USER 格式，其中 USER 是没有 附加 @EXT-AUTH-SERVER 的用户名，则 Avamar 将检查内部Avamar 身份认证数据库。

如果用户名、密码和域匹配，则登录将会成功，且 Avamar 将在 Avamar 数据库中为用户分配角色。如果它们不匹配，则登录将会失败。

2.     如果用户名采用USER@EXT-AUTH-SERVER 格式，其中USER 是用户名，EXT-AUTH-SERVER 是身份认证服务器的完全限定域名，则 Avamar 将使用 Enterprise Authentication 检查登录信息。

如果用户名、密码和域匹配，则登录将会成功，且 Avamar 将在 Avamar 数据库中为用户分配角色。

如果不匹配，则评估将会继续进行。

3.     如果用户名采用USER@EXT-AUTH-SERVER 格式且使用Enterprise Authentication 进行身份认证失败，则Avamar 将检查LDAP 映射系统。

系统将对所有映射组检查登录尝试，了解以下每个标识符是否匹配：

•      用户名，即 @ 符号之前 的“User Name”字段项部分。

•      密码，即在“Password”字段中输入的密码。

•      Avamar 域，即在“Domain Name”字段中输入的密码。

•      目录服务域，即 @ 符号之后 的“User Name”字段项部分。

如果所有标识符都匹配，则登录将会成功，且 Avamar 将从映射组中为用户分配角色。

用户可以是位于不同目录服务域中的映射组的成员。系统将向对应会话的用户分配与登录过程中提供的目录服务域匹配的映射组的角色。

如果用户是位于同一目录服务域中的多个映射组的成员，则将分配具有最大权限的角色。

4.     如果登录信息不符合以上任一步骤的要求，则登录将会失败，且显示失败消息。

角色

角色定义了每个用户帐户允许的操作。角色有三种类型：

◆      管理员角色

◆      操作员角色

◆      用户角色

管理员角色

管理员通常负责维护系统。

您只能将管理员角色分配给域级的用户帐户。这包括顶级（根）域或任何其他域或子

域。不能将此角色分配给客户端级的用户帐户。

根管理员

顶级（根）域的管理员可以完全控制系统。它们有时称为“根管理员”。

域管理员

域级（而不是根级）管理员通常有权访问本指南中描述的大多数功能，但在对应域中通常只能查看或操作对象（备份、策略对象等）。禁止任何可能允许域管理员查看对应域范围以外数据的活动。因此，禁止访问全局性质的服务器功能（例如，挂起或恢复计划的操作、更改维护活动的运行时等）。

此外，域管理员：

◆      不能添加或编辑其他子域管理员

◆      不能更改其分配的角色

◆      不能更改其密码

操作员角色

通常，实施操作员角色旨在允许特定用户有限制地访问系统的特定区域，以执行备份和恢复操作，或获取状态并运行报告。这些角色允许更自由地向除管理员以外的其他人员分配备份、恢复和报告任务。

您只能将操作员角色分配给域级的用户帐户。不能将这些角色分配给客户端级的用户帐户。并且，要将用户帐户添加到子域，则必须对父级域或更高级域具有管理员权限。

有四种操作员角色：

◆      Restore only operator

◆      Back up only operator

◆      Back up/restore operator

◆      Activity operator

具有操作员角色的用户无权访问 Avamar Administrator 中的所有功能。相反，在登录后，系统将向这些用户显示一个窗口，该窗口支持他们访问允许使用的功能。

用户角色

用户角色将用户帐户允许的操作限于特定客户端。

分配用户角色之一的用户不能登录：

◆      AvamarAdministrator

◆      Enterprise Manager

◆      Avamar Client Web 用户界面

有四种类型的用户角色。

仅备份用户

分配此角色的用户可以使用 avtar 命令行直接从客户端启动备份。

仅恢复（只读）用户

分配此角色的用户可以使用 avtar 命令行或Avamar Web 服务直接从客户端启动恢复。

备份/ 恢复用户

分配此角色的用户可以使用 avtar 命令行或Avamar Web 服务直接从客户端启动备份和恢复。  

仅恢复（只读） / 忽略文件权限

此角色与“仅恢复（只读）用户”角色类似，不同之处在于恢复过程中忽略了操作系统文件权限，从而有效地使用户能够恢复为该 Avamar Client 存储的任何文件。

此角色只有在您使用内部身份认证时才可用。

只有在同时符合以下两个条件的情况下，才应向 Windows 客户端用户帐户分配此角色，

以确保恢复没有错误：

◆      使用 Avamar 内部身份认证对用户进行身份认证。

◆      用户将不访问 Avamar Client Web 用户界面。

Avamar Server 6.1