Avamar: informazioni sulla funzione dd check-ssl dello strumento Goav

Summary: Questo articolo spiega come utilizzare la funzione dd check-ssl dello strumento Goav per risolvere i problemi di connettività SSL tra Avamar e Data Domain.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Download e installazione dello strumento Goav

Consultare l'articolo Dell 000192151 Avamar: strumento Goav (in inglese) per scaricare e installare lo strumento Avamar Goav.

Una volta collocato Goav su Avamar, accedere alla directory e rendere eseguibile lo strumento.

chmod a+x goav

Comando

Utilizzare la funzione check-ssl per Data Domain eseguendo questo comando:

./goav dd check-ssl

Controllare la schermata della guida per l'utilizzo:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Caso d'uso

Quando Data Domain è integrato con Avamar ed è abilitata la sicurezza delle sessioni, potrebbe verificarsi un problema di certificati tra essi.

Utilizzare questo strumento per diagnosticare potenziali problemi di certificati tra Avamar e Data Domain.

Esempi

Eseguire i controlli passivi che garantiscono l'assenza di modifiche apportate ad Avamar o Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Se un controllo ha esito negativo, ad esso è associato un messaggio di errore.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Utilizzare il flag fix per consentire la correzione automatica dei problemi riscontrati.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Spiegazione dei controlli

Session Security

  • Quando la sicurezza delle sessioni è abilitata, avviene uno scambio di certificati tra Avamar e Data Domain.
  • Quando la sicurezza delle sessioni è disabilitata, lo scambio di certificati tra Avamar e Data Domain non avviene e di conseguenza non c'è alcun motivo per cui eseguire questo strumento.
  • Quando si utilizza il flag fix, se la sicurezza delle sessioni è disabilitata, non viene abilitata automaticamente.

DDR Security Feature Manual Flag e Host Cert Auto Refresh Flag

  • Nella maggior parte dei casi, questi flag dovrebbero essere impostati su false in mcserver.xml di Avamar.
  • L'impostazione Manual Flag su false consente a MCS di firmare la richiesta di firma del certificato Data Domain e generare un certificato host firmato per Data Domain.
  • Se Manual Flag è impostato su true, MCS non tenta di generare un certificato host firmato per data Domain.
  • L'impostazione di Host Certificate Auto Refresh Flag su false è quella abituale, in quanto il certificato host firmato viene rigenerato ogni volta che manca.
  • Lo strumento assicura che entrambi i flag siano impostati sul valore predefinito false.
  • Quando si utilizza il flag fix, questi flag vengono automaticamente modificati in false se sono impostati su true.

GSAN Certificate Chain e GSAN Server Certificate Expiration

  • GSAN viene eseguito sulla porta 29000, che ospita una connessione TCP sicura con una coppia di chiavi e una catena di certificati.
  • Lo strumento controlla che questi certificati non siano scaduti.
  • Quando si utilizza il flag fix, se la catena di certificati GSAN è scaduta, viene rigenerata utilizzando mcrootca e enable_Secure_config.sh.
  • Se solo il certificato del server GSAN è scaduto, può essere rigenerato utilizzando "enable_secure_config.sh" senza downtime. Il flag fix non esegue questa operazione automaticamente.

Get Attached Data Domains

  • Recupera i Data Domain aggiunti dall'archivio persistente ddrmaint.
  • Per ogni Data Domain aggiunto vengono eseguiti i controlli che seguono.

Check DDR Key Exists

  • Verifica che la chiave privata DDR utilizzata per l'autenticazione senza password da Avamar a Data Domain esista e sia leggibile.
  • Quando si utilizza il flag fix, se la chiave non esiste, viene rigenerata automaticamente utilizzando mcddrsetup_sshkey e la nuova chiave viene importata in ciascun Data Domain aggiunto.

Test Port 22

  • Verifica che la porta 22 sia aperta tra Avamar e Data Domain e che Data Domain sia in ascolto.
  • Se la porta è chiusa e si utilizza il flag fix, non vengono apportate modifiche.

Test DDR Key SSH Auth

  • Tenta di connettersi al Data Domain aggiunto utilizzando la chiave privata DDR esistente, anziché una password.
  • Quando si utilizza il flag fix, se la connessione non riesce, lo strumento importa automaticamente la chiave privata DDR esistente nel Data Domain.

DD SCP Enabled

  • Veridica che il protocollo SCP (Secure Copy Protocol) sia abilitato su Data Domain.
  • Il protocollo SCP viene utilizzato per trasferire file, ad esempio i certificati, tra Avamar e Data Domain. Se è disabilitato, Avamar non è in grado di inviare i certificati a Data Domain.
  • Se il protocollo SCP è disabilitato e si utilizza il flag fix, lo strumento abilita automaticamente il protocollo SCP su Data Domain.

DD NFS Enabled

  • Verifica che la versione 3 o 4 di NFS sia abilitata su Data Domain.
  • Quando si utilizza il flag fix, se NFS è disabilitato, lo strumento abilita automaticamente NFS, abilitando per impostazione predefinita NFS versione 3.
  • Se NFS è disabilitato, Avamar e Data Domain non possono comunicare correttamente.

DD System Passphrase

  • Verifica che la passphrase del sistema Data Domain sia impostata.
  • È necessario che la passphrase del sistema data Domain sia impostata prima che il sistema possa supportare la crittografia dei dati e richiedere certificati digitali, oltre che per proteggere i dati dalla distruzione.
  • Quando si utilizza il flag fix, se la passphrase non è impostata, non vengono apportate modifiche e l'utente deve impostare la passphrase del sistema Data Domain nel momento più opportuno, preferibilmente utilizzando l'interfaccia web di Data Domain per selezionare Administration -> Access -> Administrator Access.

DD Imported Host DDBoost

  • Verifica che il certificato host firmato (imported-host ddboost) in Data Domain esista e non sia scaduto.
  • Questo certificato è firmato da MCS (catena di certificati GSAN).
  • Quando si utilizza il flag fix, se il certificato manca o è scaduto, lo strumento tenta di rigenerarlo con i seguenti passaggi.
    • Elimina il certificato imported-host ddboost esistente.
    • Carica la catena di certificati GSAN di Avamar.
    • Elimina il certificato imported-ca ddboost e login-auth esistente (catena di certificati GSAN di Avamar) su Data Domain.
    • Riavvia DDBoost.
    • Riavvia MCS.
    • Esegue una sincronizzazione di Data Domain inviando un comando "mcccli dd edit". Ciò induce MCS a generare e importare i nuovi certificati in Data Domain.

DD Host Issuer is Attached

  • Verifica che il certificato host firmato di Data Domain (imported-host ddboost) disponga di una catena di certificati GSAN di Avamar associata (imported-ca ddboost) che possa essere esportata correttamente.
  • Quando si utilizza il flag fix, se la convalida non riesce, lo strumento tenta di rigenerarla con i seguenti passaggi.
    • Elimina il certificato imported-host ddboost esistente.
    • Carica la catena di certificati GSAN di Avamar.
    • Elimina il certificato imported-ca ddboost e login-auth esistente (catena di certificati GSAN di Avamar) su Data Domain.
    • Riavvia DDBoost.
    • Riavvia MCS.
    • Esegue una sincronizzazione di Data Domain inviando un comando "mcccli dd edit". Ciò induce MCS a generare e importare i nuovi certificati in Data Domain.
  • L'aspetto importante di questo controllo è che il Data Domain può essere utilizzato da vari Avamar Server, ciascuno con la propria catena di certificati GSAN. Il certificato host firmato di Data Domain è firmato solo da un Avamar e deve essere in grado di trovare il certificato che lo ha firmato.

Av chain.pem imported to DD

  • Verifica che la catena di certificati GSAN di Avamar sia importata in Data Domain.
  • Esegue un confronto tra l'impronta digitale SHA1 della catena presente sull'Avamar Server e uno o più certificati imported-ca ddboost presenti in Data Domain.
  • Questo controllo viene eseguito in quanto la catena di Avamar potrebbe non essere importata o potrebbe esistere al suo posto una catena di Avamar proveniente dallo stesso server, probabilmente nel caso di rigenerazione dei certificati su Avamar.
  • Quando vari Avamar Server utilizzano lo stesso Data Domain, ogni catena di certificati GSAN di Avamar deve essere presente sul Data Domain come imported-ca ddboost e login-auth. Solo uno di questi è l'emittente del certificato host firmato di Data Domain.
  • Quando si utilizza il flag fix, se questo controllo ha esito negativo, lo strumento tenta di rigenerarla con i seguenti passaggi.
    • Elimina il certificato imported-host ddboost esistente.
    • Carica la catena di certificati GSAN di Avamar.
    • Elimina il certificato imported-ca ddboost e login-auth esistente (catena di certificati GSAN di Avamar) su Data Domain.
    • Riavvia DDBoost.
    • Riavvia MCS.
    • Esegue una sincronizzazione di Data Domain inviando un comando "mcccli dd edit". Ciò induce MCS a generare e importare i nuovi certificati in Data Domain.

Backup Scheduler Status

  • Si tratta di un controllo dell'helper per verificare che l'utilità di pianificazione di backup si trovi in uno stato noto all'utente.
  • Questo è l'unico controllo che richiede di avviare il servizio sia che si utilizzi o non si utilizzi il flag fix.

 

Additional Information

Guardare questo video:

È possibile guardare questo video anche su YouTubeQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies..

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.