Авамар: Інформація про функцію Goav dd check-ssl

Завантажте та встановіть інструмент Goav

Дивіться статтю Dell 000192151 Avamar: Goav tool для завантаження та встановлення інструменту Avamar Goav.

Як тільки Goav буде розміщено на Avamar, перейдіть до каталогу та зробіть інструмент виконуваним.

chmod a+x goav

Команда

Використовуйте функцію check-ssl домену даних, виконавши наступну команду:

./goav dd check-ssl

Перевірте екран довідки щодо використання:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Приклад використання

Коли Data Domain інтегрований з Avamar і включена безпека сеансу, між ними може виникнути проблема з сертифікатом.

Використовуйте цей інструмент для діагностики потенційних проблем із сертифікатами між Avamar і Data Domain.

Приклади

Проводьте пасивні перевірки, які гарантують відсутність змін в Avamar або Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Якщо перевірка не вдається, з нею пов'язане повідомлення про помилку.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Використовуйте прапорець fix, щоб дозволити автоматичне виправлення виниклих проблем.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Розшифровка перевірок

Безпека сеансу

• Коли ввімкнено функцію «Безпека сеансу», обмін сертифікатами відбувається між Avamar і Data Domain.
• Коли безпеку сеансу вимкнено, обмін сертифікатами Avamar і Data Domain не здійснюється, тому немає сенсу запускати цей інструмент.
• Коли використовується прапорець виправлення, якщо безпеку сеансу вимкнено, він не вмикається автоматично.

Посібник із функцій безпеки DDR і прапорець автоматичного оновлення сертифіката хоста

• Ці прапори в mcserver.xml Avamar в більшості випадків повинні бути помилковими.
• Встановлення прапорця вручну на false дає змогу MCS підписувати запит на підписання сертифіката домену даних і генерувати підписаний сертифікат хоста для домену даних.
• Якщо прапорець вручну має значення true, MCS не намагається згенерувати підписаний сертифікат хоста для домену даних.
• Встановлення прапорця автоматичного оновлення сертифіката хоста на false є звичайним параметром, оскільки підписаний сертифікат хоста генерується повторно, коли він відсутній.
• Інструмент гарантує, що для обох прапорців встановлено значення false за замовчуванням.
• Коли використовується прапорець fix, ці прапорці автоматично змінюються на false, якщо для них встановлено значення true.

Завершення терміну дії ланцюжка сертифікатів GSAN і сертифіката сервера

• GSAN працює на порту 29000, на якому розміщено безпечне TCP-з'єднання з парою ключів і ланцюжком сертифікатів.
• Інструмент перевіряє, що термін дії цих сертифікатів не закінчився.
• Коли використовується прапорець fix, якщо ланцюжок сертифікатів GSAN закінчився, він повторно генерується за допомогою mcrootca та enable_secure_config.sh.
• Якщо термін дії лише сертифіката сервера GSAN минув, його можна повторно згенерувати за допомогою "enable_secure_config.sh" без будь-яких простоїв. Прапорець fix робить це автоматично.

Отримання прикріплених доменів даних

• Отримано додані домени даних із постійного сховища ddrmaint.
• Наведені нижче перевірки виконуються для кожного приєднаного домену даних.

Перевірте наявність ключа DDR

• Переконайтеся, що приватний ключ DDR, який використовується для автентифікації без пароля від Avamar до Data Domain, існує та читається.
• Коли використовується прапорець fix, якщо ключа не існує, він повторно генерується автоматично за допомогою mcddrsetup_sshkey та нового ключа, імпортованого в кожен приєднаний домен даних.

Тестовий порт 22

• Переконайтеся, що між Avamar і Data Domain відкрито порт 22, а домен даних прослуховує.
• Якщо порт закритий і використовується прапорець fix, ніяких змін не вноситься.

Перевірка автентифікації SSH-ключем DDR

• Спробуйте підключитися до підключеного домену даних за допомогою наявного закритого ключа DDR замість пароля.
• Коли використовується прапорець fix, якщо це з'єднання не вдається, інструмент автоматично імпортує існуючий приватний ключ DDR до домену даних.

Домен даних SCP увімкнено

• Переконайтеся, що в домені даних увімкнено протокол безпечного копіювання (SCP).
• SCP використовується для передачі файлів, таких як сертифікати, між Avamar і Data Domain, якщо він вимкнений, Avamar не зможе надіслати сертифікати до Домену даних.
• Якщо SCP вимкнено та використовується прапорець fix, інструмент автоматично вмикає SCP на Data Domain.

Домен даних NFS увімкнено

• Переконайтеся, що версію 3 або 4 NFS увімкнено в Data Domain.
• Коли використовується прапорець fix, якщо NFS вимкнено, інструмент автоматично вмикає NFS, що за замовчуванням включає NFS версії 3.
• Якщо NFS вимкнено, Avamar і Data Domain не можуть належним чином обмінюватися даними.

Парольна фраза системи домену даних

• Переконайтеся, що парольну фразу системи домену даних встановлено.
• Парольна фраза системи домену даних має бути встановлена перед тим, як система зможе підтримувати шифрування даних, запитувати цифрові сертифікати та захищатися від подрібнення даних.
• Коли використовується прапорець fix, якщо парольна фраза не встановлена, жодні зміни не вносяться, і користувач повинен перейти встановити парольну фразу системи Data Domain у зручний час, бажано за допомогою веб-інтерфейсу Data Domain у меню Адміністрування -> Доступ - Доступ адміністратора> .

Домен даних імпортований хост DDBoost

• Переконайтеся, що підписаний сертифікат хоста (imported-host ddboost) у Data Domain існує та не прострочений.
• Цей сертифікат підписується MCS (ланцюжок сертифікатів GSAN).
• Коли використовується прапорець fix, якщо він відсутній або термін його дії минув, інструмент намагається його регенерувати за допомогою наступних кроків.
  • Видаліть існуючий імпортований сертифікат хоста ddboost.
  • Завантажте ланцюжок сертифікатів Avamar GSAN.
  • Видаліть існуючий імпортований сертифікат ca ddboost і login-auth (ланцюжок сертифікатів Avamar GSAN) у Data Domain.
  • Перезапустіть DDBoost.
  • Перезапустіть MCS.
  • Виконайте синхронізацію домену даних, відправивши команду "mccli dd edit", саме це спонукає MCS генерувати та імпортувати нові сертифікати в Data Domain.

Емітент хоста домену даних додано

• Переконайтеся, що сертифікат хоста з підписом домену даних (imported-host ddboost) має спарений ланцюжок сертифікатів Avamar GSAN (імпортований ca ddboost), який він може успішно експортувати.
• Коли використовується прапорець fix, якщо це не вдається перевірити, інструмент намагається відновити його за допомогою наступних кроків.
  • Видаліть існуючий імпортований сертифікат хоста ddboost.
  • Завантажте ланцюжок сертифікатів Avamar GSAN.
  • Видаліть існуючий імпортований сертифікат ca ddboost і login-auth (ланцюжок сертифікатів Avamar GSAN) у Data Domain.
  • Перезапустіть DDBoost.
  • Перезапустіть MCS.
  • Виконайте синхронізацію домену даних, відправивши команду "mccli dd edit", саме це спонукає MCS генерувати та імпортувати нові сертифікати в Data Domain.
• Важливість цієї перевірки полягає в тому, що домен даних може використовуватися декількома серверами Avamar, кожен з яких має свій власний ланцюжок сертифікатів GSAN. Сертифікат хоста з підписом домену даних підписується лише одним Avamar і має бути в змозі знайти сертифікат, який його підписав.

Avamar Chain імпортовано в домен даних

• Переконайтеся, що ланцюжок сертифікатів Avamar GSAN імпортовано в Data Domain.
• Виконайте порівняння відбитка SHA1 ланцюга, наявного на сервері Avamar, і одного або кількох імпортованих сертифікатів ca ddboost, присутніх у домені даних.
• Ця перевірка проводиться тому, що ланцюг Avamar може бути не імпортований, або на його місці може існувати старий ланцюг Avamar з того ж сервера, можливо, в екземплярі регенерації сертифікатів на Avamar.
• Коли кілька серверів Avamar використовують один і той же домен даних, кожен ланцюжок сертифікатів Avamar GSAN повинен бути присутнім у домені даних у вигляді імпортованого ca ddboost і login-auth. Лише один із них є емітентом сертифіката хоста з підписом Data Domain.
• Якщо використовується прапорець fix, якщо ця перевірка не вдається, інструмент намагається відновити її за допомогою наступних кроків.
  • Видаліть існуючий імпортований сертифікат хоста ddboost.
  • Завантажте ланцюжок сертифікатів Avamar GSAN.
  • Видаліть існуючий імпортований сертифікат ca ddboost і login-auth (ланцюжок сертифікатів Avamar GSAN) у Data Domain.
  • Перезапустіть DDBoost.
  • Перезапустіть MCS.
  • Виконайте синхронізацію домену даних, відправивши команду "mccli dd edit", саме це спонукає MCS генерувати та імпортувати нові сертифікати в Data Domain.

Статус планувальника резервного копіювання

• Це допоміжна перевірка для того, щоб переконатися, що планувальник резервного копіювання знаходиться у відомому користувачеві стані.
• Це єдина перевірка, яка пропонує запустити службу, коли використовується прапорець fix чи ні.

Дивіться це відео:

(Ви також можете переглянути це ж відео на YouTube.)