Avamar: Información sobre la característica dd check-ssl de Goav

Descargar e instalar la herramienta Goav

Consulte el artículo de Dell 000192151 Avamar: herramienta Goav para descargar e instalar la herramienta Goav de Avamar.

Una vez que Goav esté instalado en Avamar, vaya al directorio y ejecute la herramienta.

chmod a+x goav

Comando

Utilice la función check-ssl de Data Domain mediante la ejecución del siguiente comando:

./goav dd check-ssl

Compruebe el uso en la pantalla de ayuda:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Caso de uso

Cuando Data Domain se integra en Avamar y se habilita la seguridad de sesión, es posible que ocurra un problema de certificado entre ellos.

Utilice esta herramienta para diagnosticar los posibles problemas de certificado entre Avamar y Data Domain.

Ejemplos

Ejecute comprobaciones pasivas que garanticen que no se realicen cambios en Avamar o Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Si falla una comprobación, aparecerá un mensaje de error asociado.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Utilice la marca de corrección para permitir que se corrijan automáticamente los problemas encontrados.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Explicación de las comprobaciones

Seguridad de sesión

• Cuando se habilita la seguridad de sesión, se intercambian los certificados entre Avamar y Data Domain.
• Cuando se deshabilita la seguridad de sesión, no se intercambian los certificados entre Avamar y Data Domain, por lo que no hay motivo para ejecutar esta herramienta.
• Cuando se utiliza la marca de corrección, si la seguridad de sesión está deshabilitada, no se habilita automáticamente.

Manual de la característica de seguridad de DDR y marca de actualización automática del certificado de host

• En la mayoría de los casos, estas marcas deberían ser falsas en mcserver.xml de Avamar.
• Establecer la marca manual en falso permite que MCS firme la solicitud de firma del certificado de Data Domain y genere un certificado de host firmado para Data Domain.
• Si la marca manual es verdadera, MCS no intenta generar un certificado de host firmado para Data Domain.
• La configuración habitual es establecer la marca de actualización automática del certificado de host en falso, ya que el certificado de host firmado se vuelve a generar cada vez que falta.
• La herramienta garantiza que ambas marcas se configuren en el valor predeterminado falso.
• Cuando se utiliza la marca de corrección, estas marcas se cambian automáticamente a falso si se establecen en verdadero.

Vencimiento del certificado del servidor y la cadena de certificados de GSAN

• GSAN se ejecuta en el puerto 29000, que aloja una conexión TCP segura con un par de claves y una cadena de certificados.
• La herramienta comprueba que estos certificados no estén vencidos.
• Cuando se utiliza la marca de corrección, si la cadena de certificados de GSAN venció, se vuelve a generar mediante mcrootca y enable_secure_config.sh.
• Si solo venció el certificado del servidor GSAN, se puede volver a generar mediante “enable_secure_config.sh” sin tiempo de inactividad. La marca de corrección lo hace automáticamente.

Conectar Data Domain

• Recupere los Data Domain agregados del almacenamiento persistente ddrmaint.
• Las siguientes comprobaciones se realizan para cada Data Domain conectado.

Comprobar la existencia de la clave de DDR

• Asegúrese de que la clave privada de DDR que se utiliza para la autenticación sin contraseña de Avamar a Data Domain exista y sea legible.
• Cuando se utiliza la marca de corrección, si la clave no existe, se vuelve a generar automáticamente mediante mcddrsetup_sshkey y la nueva clave se importa a cada Data Domain conectado.

Probar el puerto 22

• Asegúrese de que el puerto 22 esté abierto entre Avamar y Data Domain y que Data Domain esté escuchando.
• Si el puerto está cerrado y se utiliza la marca de corrección no se realizan cambios.

Probar la autenticación de SSH de la clave de DDR

• Intente conectarse al Data Domain conectado mediante la clave privada de DDR existente, en vez de una contraseña.
• Cuando se utiliza la marca de corrección, si esta conexión falla, la herramienta importa automáticamente la clave privada de DDR existente a Data Domain.

SCP de Data Domain activado

• Asegúrese de que el protocolo de la copia segura (SCP) esté habilitado en Data Domain.
• El SCP se utiliza para transferir archivos, como los certificados, entre Avamar y Data Domain. Si está deshabilitado, Avamar no puede enviar los certificados a Data Domain.
• Si SCP está deshabilitado y se utiliza la marca de corrección, la herramienta habilita automáticamente el SCP en Data Domain.

NFS de Data Domain activado

• Asegúrese de que la versión 3 o 4 del NFS esté habilitada en Data Domain.
• Cuando se utiliza la marca de corrección, si el NFS está deshabilitado, la herramienta lo habilita automáticamente, que de manera predeterminada habilita el NFS versión 3.
• Si el NFS está deshabilitado, Avamar y Data Domain no pueden comunicarse correctamente.

Fase de contraseña de Data Domain System

• Asegúrese de que la frase de contraseña de Data Domain System esté configurada.
• La frase de contraseña de Data Domain System se debe establecer antes de que el sistema pueda admitir el cifrado de datos, solicitar certificados digitales y proteger contra la destrucción de datos.
• Cuando se utiliza la marca de corrección, si no se establece la frase de contraseña, no se realizan cambios y el usuario debe establecer la frase de contraseña de Data Domain System en un momento conveniente, preferentemente mediante la interfaz web de Data Domain en Administration -> Access -> Administrator Access.

DDBoost del host importado de Data Domain

• Asegúrese de que el certificado de host firmado (ddboost del host importado) en Data Domain exista y no esté vencido.
• Este certificado está firmado por MCS (cadena de certificados de GSAN).
• Cuando se utiliza la marca de corrección, si falta o se venció, la herramienta intenta volver a generarlo con los siguientes pasos.
  • Elimine el certificado ddboost del host importado existente.
  • Cargue la cadena de certificados de GSAN de Avamar.
  • Elimine la ca ddboost importada existente y el certificado login-auth (cadena de certificados de GSAN de Avamar) en Data Domain.
  • Reinicie DDBoost.
  • Reinicie MCS.
  • Realice una sincronización de Data Domain mediante el envío de un comando “mccli dd edit”, es lo que lleva a MCS a generar e importar los certificados nuevos a Data Domain.

El emisor del host de Data Domain está conectado

• Compruebe que el certificado de host firmado de Data Domain (ddboost del host importado) tenga una cadena de certificados de GSAN de Avamar emparejada (ddboost de ca importada) que pueda exportar correctamente.
• Cuando se utiliza la marca de corrección, si no se valida, la herramienta intenta volver a generarla con los siguientes pasos.
  • Elimine el certificado ddboost del host importado existente.
  • Cargue la cadena de certificados de GSAN de Avamar.
  • Elimine la ca ddboost importada existente y el certificado login-auth (cadena de certificados de GSAN de Avamar) en Data Domain.
  • Reinicie DDBoost.
  • Reinicie MCS.
  • Realice una sincronización de Data Domain mediante el envío de un comando “mccli dd edit”, es lo que lleva a MCS a generar e importar los certificados nuevos a Data Domain.
• La importancia de esta comprobación es que varios Avamar Servers pueden utilizar Data Domain, cada uno con su propia cadena de certificados de GSAN. El certificado de host firmado de Data Domain solo está firmado por un Avamar y debe poder encontrar el certificado que lo firmó.

Cadena de Avamar importada a Data Domain

• Compruebe que la cadena de certificados de GSAN de Avamar se haya importado a Data Domain.
• Realice una comparación de la huella digital SHA1 de la cadena presente en el Avamar Server y uno o más certificados de ca ddboost importados presentes en Data Domain.
• Esta comprobación se realiza porque es posible que la cadena de Avamar no se importe o que exista una cadena de Avamar antigua en su lugar desde el mismo servidor, tal vez en el caso de la regeneración de certificados en Avamar.
• Cuando varios Avamar Server utilizan el mismo Data Domain, cada cadena de certificados de GSAN de Avamar debe estar presente en Data Domain como una ca ddboost y login-auth importada. Solo uno de ellos es el emisor del certificado de host firmado de Data Domain.
• Cuando se utiliza la marca de corrección, si esta comprobación falla, la herramienta intenta volver a generarla con los siguientes pasos.
  • Elimine el certificado ddboost del host importado existente.
  • Cargue la cadena de certificados de GSAN de Avamar.
  • Elimine la ca ddboost importada existente y el certificado login-auth (cadena de certificados de GSAN de Avamar) en Data Domain.
  • Reinicie DDBoost.
  • Reinicie MCS.
  • Realice una sincronización de Data Domain mediante el envío de un comando “mccli dd edit”, es lo que lleva a MCS a generar e importar los certificados nuevos a Data Domain.

Estado del programador de la copia de seguridad

• Es una comprobación auxiliar para asegurarse de que el programador de la copia de seguridad se encuentre en un estado conocido para el usuario.
• Es la única comprobación que solicita iniciar el servicio cuando se utiliza o no la marca de corrección.

Consulte este video:

(También puede ver este video en YouTube).