Avamar: Informatie over de Goav DD Check-SSL-functie

Goav-tool downloaden en installeren

Zie Dell artikel 000192151 Avamar: Goav-tool om de Avamar Goav-tool te downloaden en te installeren.

Zodra Goav op Avamar is geplaatst, gaat u naar de directory en maakt u het hulpprogramma uitvoerbaar.

chmod a+x goav

Opdracht

Gebruik de functie Data Domain check-ssl door de volgende opdracht uit te voeren:

./goav dd check-ssl

Controleer het helpscherm voor gebruik:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Gebruiksscenario

Wanneer Data Domain is geïntegreerd met Avamar en sessiebeveiliging is ingeschakeld, is er mogelijk een certificaatprobleem tussen beide.

Gebruik deze tool voor het diagnosticeren van mogelijke certificaatproblemen tussen Avamar en Data Domain.

Voorbeelden

Voer passieve controles uit om te garanderen dat er geen wijzigingen worden aangebracht in de Avamar of Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Als een controle mislukt, is er een foutmelding aan gekoppeld.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Gebruik de oplossingsmarkering om automatisch herstel van aangetroffen problemen toe te staan.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Uitleg van controles

Sessiebeveiliging

• Wanneer sessiebeveiliging is ingeschakeld, worden certificaten uitgewisseld tussen Avamar en Data Domain.
• Wanneer sessiebeveiliging is uitgeschakeld, worden er geen certificaten uitgewisseld tussen Avamar en Data Domain, waardoor er geen reden is om deze tool uit te voeren.
• Als de fix-markering wordt gebruikt en sessiebeveiliging is uitgeschakeld, wordt deze niet automatisch ingeschakeld.

DDR Security Feature Manual en Host Cert Auto Refresh Flag

• Deze vlaggen zouden in de meeste gevallen vals moeten zijn in de mcserver.xml van Avamar.
• Door de handmatige markering in te stellen op false, kan MCS de ondertekeningsaanvraag voor het Data Domain-certificaat ondertekenen en een ondertekend hostcertificaat voor het Data Domain genereren.
• Als de handmatige markering waar is, probeert MCS geen ondertekend hostcertificaat voor het Data Domain te genereren.
• Het instellen van de vlag voor automatisch vernieuwen van het hostcertificaat op false is de gebruikelijke instelling, omdat het ondertekende hostcertificaat opnieuw wordt gegenereerd wanneer het ontbreekt.
• De tool zorgt ervoor dat beide vlaggen zijn ingesteld op de standaardwaarde false.
• Wanneer de correctievlag wordt gebruikt, worden deze vlaggen automatisch gewijzigd in false als ze zijn ingesteld op true.

GSAN-certificaatketen en verlopen servercertificaat

• GSAN wordt uitgevoerd op poort 29000 die een veilige TCP-verbinding host met een reeks sleutelparen en certificaten.
• De tool controleert of deze certificaten niet verlopen zijn.
• Wanneer de fix-markering wordt gebruikt en de GSAN-certificaatketen is verlopen, wordt deze opnieuw gegenereerd met behulp van mcrootca en enable_secure_config.sh.
• Als alleen het GSAN-servercertificaat is verlopen, kan het opnieuw worden gegenereerd met behulp van "enable_secure_config.sh" zonder downtime. De fix-vlag doet dit automatisch.

Get Attached Data Domains

• Toegevoegde Data Domains ophalen uit het permanente archief van ddrmaint.
• De volgende controles worden uitgevoerd voor elk gekoppeld Data Domain.

Controleer of DDR-sleutel bestaat

• Zorg ervoor dat de DDR-privésleutel die wordt gebruikt voor verificatie zonder wachtwoord van Avamar naar Data Domain bestaat en leesbaar is.
• Als de fix-markering wordt gebruikt en de sleutel niet bestaat, wordt deze automatisch opnieuw gegenereerd met behulp van mcddrsetup_sshkey en de nieuwe sleutel die in elk gekoppeld Data Domain wordt geïmporteerd.

Testpoort 22

• Zorg ervoor dat poort 22 open is tussen Avamar en Data Domain en dat het Data Domain luistert.
• Als de poort gesloten is en de fix-vlag wordt gebruikt, worden er geen wijzigingen aangebracht.

DDR-sleutel SSH-authenticatie testen

• Probeer verbinding te maken met het gekoppelde Data Domain met behulp van de bestaande DDR-privésleutel in plaats van een wachtwoord.
• Als de fix-vlag wordt gebruikt en deze verbinding mislukt, importeert de tool automatisch de bestaande DDR-privésleutel in het Data Domain.

Data Domain SCP ingeschakeld

• Zorg ervoor dat het Secure Copy Protocol (SCP) is ingeschakeld op Data Domain.
• SCP wordt gebruikt om bestanden, zoals de certificaten, over te dragen tussen Avamar en Data Domain. Als dit is uitgeschakeld, kan Avamar de certificaten niet naar het Data Domain verzenden.
• Als SCP is uitgeschakeld en de fix-vlag wordt gebruikt, schakelt de tool SCP automatisch in op Data Domain.

Data Domain NFS ingeschakeld

• Zorg ervoor dat versie 3 of 4 van NFS is ingeschakeld op Data Domain.
• Als de fix-markering wordt gebruikt en NFS is uitgeschakeld, heeft de tool NFS automatisch ingeschakeld, waardoor NFS standaard is ingeschakeld.
• Als NFS is uitgeschakeld, kunnen Avamar en Data Domain niet goed communiceren.

Data Domain systeemwachtwoordzin

• Zorg ervoor dat de wachtwoordzin van het Data Domain-systeem is ingesteld.
• De Data Domain systeemwachtwoordzin moet worden ingesteld voordat het systeem dataversleuteling kan ondersteunen, digitale certificaten kan aanvragen en bescherming kan bieden tegen datavernietiging.
• Als de fix-vlag wordt gebruikt en de wachtwoordzin niet is ingesteld, worden er geen wijzigingen aangebracht en moet de gebruiker de wachtwoordzin van het Data Domain-systeem op een geschikt tijdstip instellen, bij voorkeur via de Data Domain-webinterface op Administration -> Access -> Administrator Access.

Data Domain geïmporteerde host DDBoost

• Zorg ervoor dat het ondertekende hostcertificaat (imported-host ddboost) op Data Domain bestaat en niet is verlopen.
• Dit certificaat is ondertekend door MCS (GSAN certificate chain).
• Als de oplossingsmarkering wordt gebruikt en deze ontbreekt of is verlopen, probeert de tool deze opnieuw te genereren met de volgende stappen.
  • Verwijder het bestaande geïmporteerde host ddboost-certificaat.
  • Laad de Avamar GSAN-certificaatketen.
  • Verwijder het bestaande geïmporteerde ca ddboost- en login-auth-certificaat (Avamar GSAN-certificaatketen) op Data Domain.
  • Start DDBoost opnieuw.
  • Start MCS opnieuw.
  • Voer een Data Domain-synchronisatie uit door een opdracht "mccli dd edit" te verzenden. Dit is wat MCS ertoe aanzet om de nieuwe certificaten te genereren en te importeren in Data Domain.

Data Domain hostuitgever is gekoppeld

• Controleer of het Data Domain ondertekende hostcertificaat (imported-host ddboost) een gekoppelde Avamar GSAN-certificaatketen (geïmporteerde ca ddboost) heeft die kan worden geëxporteerd.
• Als de oplossingsvlag wordt gebruikt en deze niet kan worden gevalideerd, probeert de tool deze opnieuw te genereren met de volgende stappen.
  • Verwijder het bestaande geïmporteerde host ddboost-certificaat.
  • Laad de Avamar GSAN-certificaatketen.
  • Verwijder het bestaande geïmporteerde ca ddboost- en login-auth-certificaat (Avamar GSAN-certificaatketen) op Data Domain.
  • Start DDBoost opnieuw.
  • Start MCS opnieuw.
  • Voer een Data Domain-synchronisatie uit door een opdracht "mccli dd edit" te verzenden. Dit is wat MCS ertoe aanzet om de nieuwe certificaten te genereren en te importeren in Data Domain.
• Het belang van deze controle is dat het Data Domain kan worden gebruikt door verschillende Avamar-servers, elk met hun eigen GSAN-certificaatketen. Het Data Domain-ondertekende hostcertificaat is slechts door één Avamar ondertekend en moet het certificaat kunnen vinden waarmee het hostcertificaat is ondertekend.

Avamar Chain geïmporteerd in Data Domain

• Controleer of de Avamar GSAN-certificaatketen is geïmporteerd in Data Domain.
• Vergelijk de SHA1-vingerafdruk van de keten op de Avamar-server met een of meer geïmporteerde ca ddboost-certificaten op het Data Domain.
• Deze controle wordt uitgevoerd omdat de Avamar-keten mogelijk niet wordt geïmporteerd of omdat er een oude Avamar-keten in de plaats kan bestaan vanaf dezelfde server, bijvoorbeeld in het geval van het opnieuw genereren van certificaten op Avamar.
• Wanneer meerdere Avamar-servers hetzelfde Data Domain gebruiken, moet elke Avamar GSAN-certificaatketen aanwezig zijn op het Data Domain als een geïmporteerde ca ddboost en login-auth. Slechts één van deze is de uitgever van het door Data Domain ondertekende hostcertificaat.
• Als de fix-markering wordt gebruikt en deze controle mislukt, probeert de tool deze opnieuw te genereren met de volgende stappen.
  • Verwijder het bestaande geïmporteerde host ddboost-certificaat.
  • Laad de Avamar GSAN-certificaatketen.
  • Verwijder het bestaande geïmporteerde ca ddboost- en login-auth-certificaat (Avamar GSAN-certificaatketen) op Data Domain.
  • Start DDBoost opnieuw.
  • Start MCS opnieuw.
  • Voer een Data Domain-synchronisatie uit door een opdracht "mccli dd edit" te verzenden. Dit is wat MCS ertoe aanzet om de nieuwe certificaten te genereren en te importeren in Data Domain.

Backup Scheduler Status

• Dit is een hulpcontrole om ervoor te zorgen dat de back-upplanner bekend is bij de gebruiker.
• Dit is de enige controle die vraagt om de service te starten wanneer de fix-markering wordt gebruikt of niet.

Bekijk deze video:

(Je kunt dezelfde video ook op YouTube bekijken.)