Avamar: Informacje o funkcji Goav dd check-ssl

Pobieranie i instalowanie narzędzia Goav

Zapoznaj się z artykułem firmy Dell 000192151 Avamar: narzędzie Goav, aby pobrać i zainstalować narzędzie Avamar Goav.

Po umieszczeniu narzędzia Goav w katalogu Avamar przejdź do tego katalogu i nadaj plikowi narzędzia uprawnienia wykonywalności.

chmod a+x goav

Polecenie

Użyj funkcji Data Domain check-ssl, uruchamiając następujące polecenie:

./goav dd check-ssl

Sprawdź składnię na ekranie pomocy:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Przypadek użycia

Po zintegrowaniu Data Domain z Avamar i włączeniu zabezpieczeń sesji może występować problem z certyfikatem między nimi.

Użyj tego narzędzia, aby zdiagnozować potencjalne problemy z certyfikatami między Avamar i Data Domain.

Przykłady

Przeprowadź pasywne testy, które gwarantują, że nie wprowadzono żadnych zmian w Avamar lub Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Jeśli test zakończy się niepowodzeniem, będzie z nim powiązany komunikat o błędzie.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Użyj flagi fix, aby umożliwić automatyczne rozwiązywanie napotkanych problemów.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Objaśnienie testów

Zabezpieczenia sesji

• Po włączeniu zabezpieczenia sesji certyfikaty są wymieniane między Avamar i Data Domain.
• Gdy zabezpieczenia sesji są wyłączone, certyfikaty nie są wymieniane między Avamar a Data Domain, więc nie ma powodu, aby uruchamiać to narzędzie.
• Jeśli flaga fix jest używana, gdy zabezpieczenia sesji są wyłączone, nie są one automatycznie włączane.

Flaga ręcznego odświeżania zabezpieczeń DDR i automatycznego odświeżania certyfikatów hosta

• W większości przypadków flagi te powinny mieć wartość false w pliku Avamar mcserver.xml.
• Ustawienie flagi ręcznej (manual) na false umożliwia MCS podpisanie żądania certyfikatu Data Domain i wygenerowanie podpisanego certyfikatu hosta dla Data Domain.
• Jeśli flaga ręczna (manual) ma wartość true, MCS nie podejmuje próby wygenerowania podpisanego certyfikatu hosta dla Data Domain.
• Ustawienie flagi automatycznego odświeżania certyfikatu hosta (auto) na wartość false jest typowym ustawieniem, ponieważ podpisany certyfikat hosta jest generowany ponownie za każdym razem, gdy go brakuje.
• Narzędzie zapewnia ustawienie obu flag na wartość domyślną false.
• Gdy używana jest flaga fix, flagi te są automatycznie zmieniane na false, jeśli są ustawione na true.

Wygaśnięcie łańcucha certyfikatów GSAN i certyfikatów serwera

• GSAN działa na porcie 29000, który obsługuje bezpieczne połączenie TCP z parą kluczy i łańcuchem certyfikatów.
• Narzędzie sprawdza, czy te certyfikaty nie wygasły.
• W przypadku użycia flagi fix, jeśli łańcuch certyfikatów GSAN wygasł, jest on generowany ponownie przy użyciu mcrootca i enable_secure_config.sh.
• Jeśli tylko certyfikat serwera GSAN wygasł, można go ponownie wygenerować przy użyciu „enable_secure_config.sh” bez żadnych przestojów. Flaga fix robi to automatycznie.

Pobieranie dołączonych domen Data Domain

• Pobierz dodane domeny Data Domain z magazynu trwałego ddrmaint.
• Następujące testy są wykonywane dla każdej dołączonej domeny Data Domain.

Sprawdzanie, czy klucz DDR istnieje

• Upewnij się, że klucz prywatny DDR używany do uwierzytelniania bez hasła między Avamar i Data Domain istnieje i można go odczytać.
• W przypadku użycia flagi fix, jeśli klucz nie istnieje, jest on automatycznie generowany ponownie przy użyciu mcddrsetup_sshkey i nowego klucza zaimportowanego do każdej dołączonej domeny Data Domain.

Testowanie portu 22

• Upewnij się, że port 22 między Avamar a Data Domain jest otwarty, a Data Domain nasłuchuje.
• Jeśli port jest zamknięty i używana jest flaga fix, nie zostaną wprowadzone żadne zmiany.

Testowanie uwierzytelniania SSH klucza DDR

• Spróbuj połączyć się z dołączoną domeną Data Domain przy użyciu istniejącego klucza prywatnego DDR zamiast hasła.
• W przypadku użycia flagi fix, jeśli to połączenie nie powiedzie się, narzędzie automatycznie zaimportuje istniejący klucz prywatny DDR do Data Domain.

Protokół SCP dla Data Domain włączony

• Upewnij się, że protokół SCP (Secure Copy Protocol) jest włączony dla Data Domain.
• Protokół SCP służy do przesyłania plików, takich jak certyfikaty, między Avamar a Data Domain. Jeśli jest wyłączony, Avamar nie może wysłać certyfikatów do Data Domain.
• Jeśli protokół SCP jest wyłączony i jest używana flaga fix, narzędzie automatycznie włącza protokół SCP dla Data Domain.

System plików NFS dla Data Domain włączony

• Upewnij się, że dla Data Domain włączono wersję 3 lub 4 systemu plików NFS.
• W przypadku użycia flagi fix, jeśli system plików NFS jest wyłączony, narzędzie automatycznie włącza NFS, domyślnie w wersji 3.
• Jeśli system plików NFS jest wyłączony, Avamar i Data Domain nie mogą prawidłowo się komunikować.

Hasło systemowe Data Domain

• Upewnij się, że ustawiono hasło systemowe Data Domain.
• Hasło systemowe Data Domain musi zostać ustawione, zanim system będzie mógł obsługiwać szyfrowanie danych, żądać certyfikatów cyfrowych i chronić dane przed niszczeniem.
• Jeśli hasło nie jest ustawione, a flaga fix jest używana, nie są wprowadzane żadne zmiany, a użytkownik musi ustawić hasło systemowe Data Domain w dogodnym czasie, najlepiej za pomocą interfejsu sieciowego Data Domain w sekcji Administration -> Access -> Administrator Access.

DDBoost hosta zaimportowany do Data Domain

• Upewnij się, że podpisany certyfikat hosta (zaimportowany ddboost hosta) w Data Domain istnieje i nie wygasł.
• Certyfikat ten jest podpisany przez MCS (łańcuch certyfikatów GSAN).
• W przypadku użycia flagi fix, jeśli go brakuje lub wygasł, narzędzie próbuje go ponownie wygenerować, wykonując poniższe kroki.
  • Usunięcie istniejącego zaimportowanego z hosta certyfikatu ddboost.
  • Załadowanie łańcucha certyfikatów GSAN Avamar.
  • Usunięcie istniejącego zaimportowanego certyfikatu ca ddboost i login-auth (łańcuch certyfikatów GSAN Avamar) w Data Domain.
  • Uruchomienie ponowne DDBoost.
  • Uruchomienie ponowne MCS.
  • Przeprowadzenie synchronizacji Data Domain przez wysłanie polecenia „mccli dd edit”, co zmusi MCS do wygenerowania i zaimportowania nowych certyfikatów do Data Domain.

Dołączono wystawcę certyfikatu hosta Data Domain

• Sprawdź, czy certyfikat hosta podpisany przez Data Domain (zaimportowany ddboost hosta) ma sparowany łańcuch certyfikatów GSAN Avamar (zaimportowany ddboost ca), który może wyeksportować.
• W przypadku użycia flagi fix, jeśli nie można tego zweryfikować, narzędzie spróbuje ponownie go wygenerować, wykonując poniższe kroki.
  • Usunięcie istniejącego zaimportowanego z hosta certyfikatu ddboost.
  • Załadowanie łańcucha certyfikatów GSAN Avamar.
  • Usunięcie istniejącego zaimportowanego certyfikatu ca ddboost i login-auth (łańcuch certyfikatów GSAN Avamar) w Data Domain.
  • Uruchomienie ponowne DDBoost.
  • Uruchomienie ponowne MCS.
  • Przeprowadzenie synchronizacji Data Domain przez wysłanie polecenia „mccli dd edit”, co zmusi MCS do wygenerowania i zaimportowania nowych certyfikatów do Data Domain.
• Znaczenie tego testu polega na tym, że domena Data Domain może być używana przez kilka serwerów Avamar, z których każdy ma własny łańcuch certyfikatów GSAN. Certyfikat hosta podpisany przez Data Domain jest podpisany tylko przez jeden system Avamar i musi być w stanie znaleźć certyfikat, który go podpisał.

Zaimportowano łańcuch Avamar do Data Domain

• Sprawdź, czy łańcuch certyfikatów GSAN Avamar jest zaimportowany do Data Domain.
• Wykonaj porównanie odcisku palca SHA1 łańcucha obecnego na serwerze Avamar i co najmniej jednego zaimportowanego certyfikatu ddboost ca obecnego w Data Domain.
• Ten test jest wykonywany, ponieważ łańcuch Avamar może nie zostać zaimportowany lub zamiast niego może istnieć stary łańcuch Avamar z tego samego serwera, na przykład w przypadku ponownego wygenerowania certyfikatów w Avamar.
• Jeśli kilka serwerów Avamar korzysta z tej samej domeny Data Domain, każdy łańcuch certyfikatów GSAN Avamar musi być obecny w domenie Data Domain jako zaimportowany ddboost ca i login-auth. Tylko jeden z nich jest wystawcą certyfikatu hosta podpisanego przez Data Domain.
• W przypadku użycia flagi fix, jeśli ten test zakończy się niepowodzeniem, narzędzie spróbuje ponownie wygenerować ten certyfikat, wykonując poniższe kroki.
  • Usunięcie istniejącego zaimportowanego z hosta certyfikatu ddboost.
  • Załadowanie łańcucha certyfikatów GSAN Avamar.
  • Usunięcie istniejącego zaimportowanego certyfikatu ca ddboost i login-auth (łańcuch certyfikatów GSAN Avamar) w Data Domain.
  • Uruchomienie ponowne DDBoost.
  • Uruchomienie ponowne MCS.
  • Przeprowadzenie synchronizacji Data Domain przez wysłanie polecenia „mccli dd edit”, co zmusi MCS do wygenerowania i zaimportowania nowych certyfikatów do Data Domain.

Status harmonogramu kopii zapasowych

• Jest to test pomocniczy mający na celu upewnienie się, że harmonogram tworzenia kopii zapasowych jest w stanie znanym użytkownikowi.
• Jest to jedyny test, który monituje o uruchomienie usługi, niezależnie od tego, czy flaga fix jest używana.

Zapoznaj się z filmem:

(Ten film można również obejrzeć w serwisie YouTube).