Avamar : Informations sur la fonctionnalité Goav dd check-ssl

Télécharger et installer l’outil Goav

Voir l’article Dell 000192151 Avamar : Outil Goav pour télécharger et installer l’outil Avamar Goav.

Une fois Goav placé sur Avamar, accédez au répertoire et rendez l’outil exécutable.

chmod a+x goav

Commande

Utilisez la fonctionnalité de vérification ssl Data Domain en exécutant la commande suivante :

./goav dd check-ssl

Consultez l’écran d’aide pour connaître l’utilisation :

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Cas d’utilisation

Lorsque Data Domain est intégré à Avamar et que la sécurité de session est activée, il peut y avoir un problème de certificat entre eux.

Utilisez cet outil pour diagnostiquer les problèmes de certificat potentiels entre Avamar et Data Domain.

Exemples

Exécutez des vérifications passives qui garantissent qu’aucune modification n’est apportée à Avamar ou Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

En cas d’échec d’une vérification, un message d’erreur s’affiche.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Utilisez la balise de correction pour permettre la correction automatique des problèmes rencontrés.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Explication des vérifications

Sécurité de la session

• Lorsque la sécurité de session est activée, des certificats sont échangés entre Avamar et Data Domain.
• Lorsque la sécurité de session est désactivée, aucun certificat n’est échangé entre Avamar et Data Domain. Il n’y a donc aucune raison d’exécuter cet outil.
• Lorsque la balise de correction est utilisée, si la sécurité de session est désactivée, elle n’est pas automatiquement activée.

Balise d’actualisation automatique du certificat hôte et fonction de sécurité DDR manuelle

• Dans la plupart des cas, ces balises doivent être définies sur false dans le fichier mcserver.xml d’Avamar.
• Définir la balise manuelle sur false permet aux MCS de signer la demande de signature de certificat Data Domain et de générer un certificat d’hôte signé pour Data Domain.
• Si la balise manuelle est définie sur true, MCS ne tente pas de générer un certificat d’hôte signé pour Data Domain.
• Définir la balise d’actualisation automatique du certificat d’hôte sur false est le paramètre habituel, car le certificat d’hôte signé est régénéré chaque fois qu’il est manquant.
• L’outil s’assure que les deux balises sont définies sur la valeur par défaut false.
• Lors de l’utilisation de la balise de correction, ces balises sont automatiquement redéfinies sur false si elles sont réglées sur true.

Chaîne de certificats GSAN et expiration du certificat de serveur

• GSAN s’exécute sur le port 29000 qui héberge une connexion TCP sécurisée avec une paire de clés et une chaîne de certificats.
• L’outil vérifie que ces certificats n’ont pas expiré.
• Lorsque la balise de correction est utilisée, si la chaîne de certificats GSAN a expiré, elle est régénérée à l’aide de mcrootca et enable_secure_config.sh.
• Si seul le certificat de serveur GSAN a expiré, il peut être régénéré à l’aide de « enable_secure_config.sh » sans interruption de service. La balise de correction effectue cette opération automatiquement.

Rattacher les Data Domain

• Récupérez les Data Domain ajoutés à partir du magasin persistant ddrmaint.
• Les vérifications suivantes sont effectuées pour chaque Data Domain rattaché.

Vérifier si la clé DDR existe

• Assurez-vous que la clé privée DDR utilisée pour l’authentification sans mot de passe d’Avamar vers Data Domain existe et est lisible.
• Si la balise de correction est utilisée, si la clé n’existe pas, elle est régénérée automatiquement à l’aide de mcddrsetup_sshkey et la nouvelle clé est importée dans chaque Data Domain rattaché.

Port de test 22

• Assurez-vous que le port 22 est ouvert entre Avamar et Data Domain et que Data Domain est à l’écoute.
• Si le port est fermé et que la balise de correction est utilisée, aucune modification n’est apportée.

Test d’authentification SSH de la clé DDR

• Tentez de se connecter au Data Domain rattaché à l’aide de la clé privée DDR existante, au lieu d’un mot de passe.
• Si la balise de correction est utilisée, si cette connexion échoue, l’outil importe automatiquement la clé privée DDR existante dans Data Domain.

SCP Data Domain activé

• Assurez-vous que le protocole SCP (Secure Copy Protocol) est activé sur Data Domain.
• SCP est utilisé pour transférer des fichiers tels que les certificats entre Avamar et Data Domain, si cette option est désactivée, Avamar est incapable d’envoyer les certificats à Data Domain.
• Si SCP est désactivé et que la balise de correction est utilisée, l’outil active automatiquement SCP sur Data Domain.

NFS Data Domain activé

• Assurez-vous que la version 3 ou 4 de NFS est activée sur Data Domain.
• Lorsque la balise de correction est utilisée, si NFS est désactivé, l’outil active automatiquement NFS, qui par défaut active NFS version 3.
• Si NFS est désactivé, Avamar et Data Domain ne peuvent pas communiquer correctement.

Phrase secrète du système Data Domain

• Assurez-vous que la phrase secrète du système Data Domain est définie.
• La phrase secrète du système Data Domain doit être définie pour que le système puisse prendre en charge le chiffrement des données, demander des certificats numériques et se protéger contre la destruction des données.
• Lorsque la balise de correction est utilisée, si la phrase secrète n’est pas définie, aucune modification n’est apportée et l’utilisateur doit définir la phrase secrète du système Data Domain au moment opportun, de préférence à l’aide de l’interface Web Data Domain dans Administration -> Access -> Administrator Access.

Hôte importé Data Domain DDBoost

• Vérifiez que le certificat d’hôte signé (imported-host ddboost) sur Data Domain existe et n’a pas expiré.
• Ce certificat est signé par MCS (chaîne de certificats GSAN).
• Lorsque la balise de correction, si elle est manquante ou expirée, l’outil tente de la régénérer en procédant comme suit.
  • Supprimez le certificat ddboost de l’hôte importé existant.
  • Chargez la chaîne de certificats Avamar GSAN.
  • Supprimez le certificat ddboost et login-auth de l’autorité de certification importée existante (chaîne de certificats Avamar GSAN) sur Data Domain.
  • Redémarrez DDBoost.
  • Redémarrez MCS.
  • Synchronisez Data Domain en envoyant une commande « mccli dd edit ». C’est ce qui pousse MCS à générer et importer les nouveaux certificats dans Data Domain.

L’émetteur hôte de Data Domain est attaché.

• Vérifiez que le certificat d’hôte signé Data Domain (hôte importé ddboost) dispose d’une chaîne de certificats Avamar GSAN couplée (ddboost d’autorité de certification importée) qu’il peut exporter avec succès.
• Lorsque la balise de correction est utilisée, si elle ne peut pas être validée, l’outil tente de la régénérer à l’aide des étapes suivantes.
  • Supprimez le certificat ddboost de l’hôte importé existant.
  • Chargez la chaîne de certificats Avamar GSAN.
  • Supprimez le certificat ddboost et login-auth de l’autorité de certification importée existante (chaîne de certificats Avamar GSAN) sur Data Domain.
  • Redémarrez DDBoost.
  • Redémarrez MCS.
  • Synchronisez Data Domain en envoyant une commande « mccli dd edit ». C’est ce qui pousse MCS à générer et importer les nouveaux certificats dans Data Domain.
• L’importance de cette vérification est que Data Domain peut être utilisé par plusieurs serveurs Avamar, chacun disposant de sa propre chaîne de certificats GSAN. Le certificat d’hôte signé Data Domain n’est signé que par un seul Avamar et doit pouvoir trouver le certificat qui l’a signé.

Chaîne Avamar importée dans Data Domain

• Vérifiez que la chaîne de certificats Avamar GSAN est importée dans Data Domain.
• Faites une comparaison entre l’empreinte SHA1 de la chaîne présente sur le serveur Avamar et un ou plusieurs certificats ddboost d’autorité de certification importée présents sur Data Domain.
• Cette vérification est effectuée car la chaîne Avamar n’est peut-être pas importée ou une ancienne chaîne Avamar peut exister sur le même serveur, peut-être dans le cas de la régénération des certificats sur Avamar.
• Lorsque plusieurs serveurs Avamar utilisent le même Data Domain, chaque chaîne de certificats Avamar GSAN doit être présente sur Data Domain en tant que ddboost et login-auth d’autorité de certification importée. L’un d’eux est l’émetteur du certificat d’hôte signé Data Domain.
• Lorsque la balise de correction est utilisée, si cette vérification échoue, l’outil tente de la régénérer en procédant comme suit.
  • Supprimez le certificat ddboost de l’hôte importé existant.
  • Chargez la chaîne de certificats Avamar GSAN.
  • Supprimez le certificat ddboost et login-auth de l’autorité de certification importée existante (chaîne de certificats Avamar GSAN) sur Data Domain.
  • Redémarrez DDBoost.
  • Redémarrez MCS.
  • Synchronisez Data Domain en envoyant une commande « mccli dd edit ». C’est ce qui pousse MCS à générer et importer les nouveaux certificats dans Data Domain.

État du planificateur de sauvegarde

• Ceci est un contrôle d’assistance pour s’assurer que le planificateur de sauvegarde est dans un état connu par l’utilisateur.
• Il s’agit de la seule vérification qui invite à démarrer le service que la balise de correction soit utilisée ou non.

Regardez cette vidéo :

(Vous pouvez également visionner cette vidéo sur YouTube.)