Avamar: Informace o funkcích Goav dd check-ssl

Stáhněte a nainstalujte nástroj Goav

Viz článek společnosti Dell 000192151 Avamar: Goav, kde najdete informace o stažení a instalaci nástroje Avamar Goav.

Po umístění nástroje Goav do systému Avamar přejděte do adresáře a nastavte nástroj jako spustitelný.

chmod a+x goav

Příkaz

Použijte funkci check-ssl systému Data Domain spuštěním následujícího příkazu:

./goav dd check-ssl

Na obrazovce nápovědy vyhledejte použití:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Případy použití

Pokud je systém Data Domain integrován do softwaru Avamar a je povoleno zabezpečení relace, může mezi nimi dojít k problému s certifikátem.

Tento nástroj slouží k diagnostice potenciálních problémů s certifikáty mezi softwarem Avamar a systémem Data Domain.

Příklady

Spusťte pasivní kontroly, které zaručí, že nebudou provedeny žádné změny v systému Avamar nebo Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Pokud se kontrola nezdaří, bude k ní přidružena chybová zpráva.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Pomocí příznaku fix umožněte automatickou nápravu zjištěných problémů.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Vysvětlení kontrol

Session Security

• Když je povolena možnost Session Security, dochází k výměně certifikátů mezi systémem Avamar a Data Domain.
• Pokud je možnost Session Security zakázána, nedochází k výměně certifikátů mezi systémem Avamar a Data Domain, takže není důvod tento nástroj spouštět.
• Pokud je při použití příznaku fix zakázána možnost Session Security, nebude automaticky povolena.

Příznak příručky k bezpečnostní funkci DDR a automatické aktualizace hostitelského certifikátu

• Tyto příznaky by ve většině případů měly mít v souboru mcserver.xml softwaru Avamar hodnotu false.
• Nastavením příznaku manual na hodnotu false umožníte systému MCS podepsat požadavek na podpis certifikátu Data Domain a vygenerovat podepsaný certifikát hostitele pro systém Data Domain.
• Pokud je příznak manual nastaven na hodnotu true, systém MCS se nepokusí vygenerovat podepsaný certifikát hostitele pro systém Data Domain.
• Nastavení příznaku automatické aktualizace hostitelského certifikátu na hodnotu false je obvyklé, protože podepsaný hostitelský certifikát se znovu vygeneruje vždy, když chybí.
• Nástroj zajistí, aby byly oba příznaky nastaveny na výchozí hodnotu false.
• Při použití příznaku fix se tyto příznaky automaticky změní na hodnotu false, pokud jsou nastaveny na true.

Vypršení platnosti řetězce certifikátů GSAN a serverových certifikátů

• GSAN běží na portu 29000, který hostuje zabezpečené TCP spojení s párem klíčů a řetězem certifikátů.
• Nástroj zkontroluje, zda nevypršela platnost těchto certifikátů.
• Pokud při použití příznaku fix vyprší platnost řetězce certifikátů GSAN, znovu se vygeneruje pomocí autority mcrootca a skriptu enable_secure_config.sh.
• Pokud vyprší platnost pouze certifikátu serveru GSAN, lze jej bez prostojů znovu vygenerovat pomocí skriptu „enable_secure_config.sh“. Příznak fix to provede automaticky.

Získání připojených systémů Data Domains

• Načtěte přidané systémy Data Domain z trvalého úložiště ddrmaint.
• Následující kontroly se provádějí pro každou připojenou jednotku Data Domain.

Zkontrolujte, zda existujte klíč DDR

• Ujistěte se, že soukromý klíč DDR používaný pro ověřování bez hesla ze systému Avamar do systému Data Domain existuje a je čitelný.
• Pokud klíč při použití příznaku fix neexistuje, automaticky se znovu vygeneruje pomocí příkazu mcddrsetup_sshkey a nový klíč se importuje do každého připojeného systému Data Domain.

Otestujte port 22

• Zkontrolujte, zda je mezi systémem Avamar a systémem Data Domain otevřený port 22 a zda systém Data Domain naslouchá.
• Pokud je port zavřený a je použit příznak fix, neprovedou se žádné změny.

Otestujte ověřování klíče DDR pomocí SSH

• Pokuste se připojit k připojenému systému Data Domain pomocí stávajícího soukromého klíče DDR namísto hesla.
• Pokud je použit příznak fix a toto připojení selže, nástroj automaticky importuje stávající soukromý klíč DDR do systému Data Domain.

Je povolen protokol Data Domain SCP

• Zkontrolujte, zda je v systému Data Domain povolen protokol SCP (Secure Copy Protocol).
• Protokol SCP se používá k přenosu souborů, jako jsou certifikáty, mezi nástrojem Avamar a systémem Data Domain. Pokud je zakázán, software Avamar nemůže odeslat certifikáty do systému Data Domain.
• Pokud je protokol SCP zakázán a je použit příznak fix, nástroj automaticky povolí protokol SCP v systému Data Domain.

Je povolen systém Data Domain NFS

• Zkontrolujte, zda je v systému Data Domain povolen systém NFS verze 3 nebo 4.
• Pokud je použit příznak fix a systém NFS je zakázán, nástroj automaticky povolí systém NFS, což je výchozí nastavení povoleného systému NFS verze 3.
• Pokud je systém NFS zakázán, platformy Avamar a Data Domain nemohou správně komunikovat.

Přístupové heslo systému Data Domain

• Zkontrolujte, zda je nastavena přístupové heslo k systému Data Domain.
• Přístupové heslo k systému Data Domain je nutné nastavit, aby systém mohl podporovat šifrování dat, požadovat digitální certifikáty a chránit před zničením dat.
• Není-li při použití příznaku fix nastaveno heslo, neprovedou se žádné změny a uživatel musí nastavit heslo k systému Data Domain, nejlépe pomocí webového rozhraní Data Domain v nabídce Administration –> Access –> Administrator Access.

Certifikát Data Domain Imported Host DDBoost

• Ujistěte se, že v systému Data Domain existuje podepsaný certifikát hostitele (imported-host ddboost) a nevypršela jeho platnost.
• Tento certifikát je podepsán systémem MCS (řetěz certifikátů GSAN).
• Pokud při použití příznaku fix certifikát chybí nebo vypršela jeho platnost, nástroj se ho pokusí znovu vygenerovat pomocí následujících kroků.
  • Odstraňte stávající certifikát imported host ddboost.
  • Načtěte řetězec certifikátů Avamar GSAN.
  • Odstraňte stávající certifikát imported ca ddboost a login-auth (řetězec certifikátů Avamar GSAN) v systému Data Domain.
  • Restartujte systém DDBoost.
  • Restartujte server MCS.
  • Proveďte synchronizaci systému Data Domain odesláním příkazu „mccli dd edit“. To umožní serveru MCS vygenerovat a importovat nové certifikáty do systému Data Domain.

Je připojen vydavatel hostitele Data Domain

• Zkontrolujte, zda má hostitelský certifikát podepsaný systémem Data Domain (imported-host ddboost) spárovaný řetězec certifikátů Avamar GSAN (imported ca ddboost), který může úspěšně exportovat.
• Pokud se to při použití příznaku fix nepodaří ověřit, nástroj se jej pokusí znovu vygenerovat pomocí následujících kroků.
  • Odstraňte stávající certifikát imported host ddboost.
  • Načtěte řetězec certifikátů Avamar GSAN.
  • Odstraňte stávající certifikát imported ca ddboost a login-auth (řetězec certifikátů Avamar GSAN) v systému Data Domain.
  • Restartujte systém DDBoost.
  • Restartujte server MCS.
  • Proveďte synchronizaci systému Data Domain odesláním příkazu „mccli dd edit“. To umožní serveru MCS vygenerovat a importovat nové certifikáty do systému Data Domain.
• Pokud při použití příznaku fix ověření selže, nástroj se certifikát pokusí znovu vygenerovat pomocí následujících kroků. Podepsaný hostitelský certifikát Data Domain je podepsán pouze jedním systémem Avamar a musí být schopen najít certifikát, který jej podepsal.

Řetězec Avamar je naimportovaný do systému Data Domain

• Zkontrolujte, že je řetěz certifikátů Avamar GSAN importován do systému Data Domain.
• Porovnejte otisk SHA1 řetězce na serveru Avamar s jedním nebo více certifikáty imported ca ddboost v systému Data Domain.
• Tato kontrola se provádí, protože řetězec Avamar nemusí být importován nebo na jeho místě může existovat starý řetězec Avamar ze stejného serveru, například v případě opětovného generování certifikátů v systému Avamar.
• Pokud několik serverů Avamar používá stejný systém Data Domain, musí být každý řetězec certifikátů Avamar GSAN přítomný v systému Data Domain jako importovaná certifikační autorita ddboost a přihlašovací ověřování. Pouze jeden z nich je vydavatelem hostitelského certifikátu podepsaného systémem Data Domain.
• Pokud se při použití příznaku fix tato kontrola nezdaří, nástroj se ji pokusí znovu vygenerovat pomocí následujících kroků.
  • Odstraňte stávající certifikát imported host ddboost.
  • Načtěte řetězec certifikátů Avamar GSAN.
  • Odstraňte stávající certifikát imported ca ddboost a login-auth (řetězec certifikátů Avamar GSAN) v systému Data Domain.
  • Restartujte systém DDBoost.
  • Restartujte server MCS.
  • Proveďte synchronizaci systému Data Domain odesláním příkazu „mccli dd edit“. To umožní serveru MCS vygenerovat a importovat nové certifikáty do systému Data Domain.

Stav plánovače zálohování

• Jedná se o pomocnou kontrolu, která zajišťuje, že plánovač zálohování je pro uživatele ve známém stavu.
• Toto je jediná kontrola, která vyzve ke spuštění služby, když je použit příznak fix či nikoli.

Podívejte se na toto video:

(Toto video můžete také zhlédnout na YouTube .)