Avamar: Informationen zur Goav-Funktion dd check-ssl

Herunterladen und Installieren des Goav-Tools

Im Dell Artikel 000192151 Avamar: Goav-Tool finden Sie weitere Informationen zum Herunterladen und Installieren des Avamar Goav-Tools.

Sobald Goav auf Avamar heruntergeladen wurde, rufen Sie das Verzeichnis auf und machen Sie das Tool ausführbar.

chmod a+x goav

Befehl

Verwenden Sie die Data Domain-Check-SSL-Funktion, indem Sie den folgenden Befehl ausführen:

./goav dd check-ssl

Informationen zur Verwendung finden Sie auf dem Hilfebildschirm:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Anwendungsbeispiel

Wenn Data Domain in Avamar integriert ist und die Sitzungssicherheit aktiviert ist, kann es zu einem Zertifikatproblem zwischen ihnen kommen.

Verwenden Sie dieses Tool, um potenzielle Zertifikatprobleme zwischen Avamar und Data Domain zu diagnostizieren.

Beispiele

Führen Sie passive Überprüfungen durch, die sicherstellen, dass keine Änderungen an Avamar oder Data Domain vorgenommen werden.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Wenn eine Überprüfung fehlschlägt, wird eine Fehlermeldung angezeigt.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Verwenden Sie das Fix-Flag, um die automatische Korrektur von aufgetretenen Problemen zuzulassen.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Erläuterung der Überprüfungen

Sitzungssicherheit

• Wenn Sitzungssicherheit aktiviert ist, werden Zertifikate zwischen Avamar und Data Domain ausgetauscht.
• Wenn die Sitzungssicherheit deaktiviert ist, werden keine Zertifikate zwischen Avamar und Data Domain ausgetauscht, sodass es keinen Grund gibt, dieses Tool auszuführen.
• Wenn das Fix-Flag verwendet wird und die Sitzungssicherheit deaktiviert ist, wird sie nicht automatisch aktiviert.

Handbuch zur DDR-Sicherheitsfunktion und Markierung für automatische Aktualisierung des Hostzertifikats

• Diese Flags sollten im mcserver.xml von Avamar in den meisten Fällen „false“ lauten.
• Wenn das manuelle Flag auf „false“ gesetzt wird, kann MCS die Signieranforderung für das Data Domain-Zertifikat signieren und ein signiertes Hostzertifikat für die Data Domain erzeugen.
• Wenn das manuelle Flag auf „true“ gesetzt ist, versucht MCS nicht, ein signiertes Hostzertifikat für Data Domain zu erzeugen.
• Das Flag für die automatische Aktualisierung des Hostzertifikats ist üblicherweise auf „false“ gesetzt, da das signierte Hostzertifikat neu erzeugt wird, wenn es fehlt.
• Das Tool stellt sicher, dass beide Flags auf den Standardwert „false“ festgelegt sind.
• Wenn das Fix-Flag verwendet wird, werden diese Flags automatisch auf „false“ gesetzt, wenn sie auf „true“ gesetzt sind.

Ablauf der GSAN-Zertifikatkette und des Serverzertifikats

• GSAN wird auf Port 29000 ausgeführt, der eine sichere TCP-Verbindung mit einem Schlüsselpaar und einer Zertifikatkette hostet.
• Das Tool überprüft, ob diese Zertifikate abgelaufen sind.
• Wenn das Fix-Flag verwendet wird und die GSAN-Zertifikatkette abgelaufen ist, wird sie mithilfe von mcrootca und enable_secure_config.sh neu erzeugt.
• Wenn nur das GSAN-Serverzertifikat abgelaufen ist, kann es ohne Ausfallzeit mit „enable_secure_config.sh“ neu erzeugt werden. Das Fix-Flag führt dies automatisch aus.

Verbundene Data Domains abrufen

• Rufen Sie verbundene Data Domains aus dem persistenten ddrmaint-Speicher ab.
• Die folgenden Überprüfungen werden für jede verbundene Data Domain durchgeführt.

Überprüfen Sie, ob ein DDR-Schlüssel vorhanden ist.

• Stellen Sie sicher, dass der private DDR-Schlüssel, der für die Authentifizierung ohne Kennwort von Avamar zu Data Domain verwendet wird, vorhanden und lesbar ist.
• Wenn das Fix-Flag verwendet wird und der Schlüssel nicht vorhanden ist, wird er automatisch mithilfe von mcddrsetup_sshkey neu erzeugt und der neue Schlüssel wird in jede verbundene Data Domain importiert.

Port 22 testen

• Stellen Sie sicher, dass Port 22 zwischen Avamar und Data Domain geöffnet ist und Data Domain überwacht.
• Wenn der Port geschlossen ist und das Fix-Flag verwendet wird, werden keine Änderungen vorgenommen.

SSH-Authentifizierung der DDR-Schlüssel testen

• Versuchen Sie, eine Verbindung zur verbundenen Data Domain herzustellen, indem Sie den vorhandenen privaten DDR-Schlüssel anstelle eines Kennworts verwenden.
• Wenn das Fix-Flag verwendet wird und diese Verbindung fehlschlägt, importiert das Tool automatisch den vorhandenen privaten DDR-Schlüssel in Data Domain.

Data Domain mit aktiviertem SCP

• Stellen Sie sicher, dass das Secure Copy Protocol (SCP) auf Data Domain aktiviert ist.
• SCP wird verwendet, um Dateien wie die Zertifikate zwischen Avamar und Data Domain zu übertragen. Wenn es deaktiviert ist, kann Avamar die Zertifikate nicht an Data Domain senden.
• Wenn SCP deaktiviert ist und das Fix-Flag verwendet wird, aktiviert das Tool automatisch SCP auf Data Domain.

Data Domain mit aktiviertem NFS

• Stellen Sie sicher, dass Version 3 oder 4 von NFS auf Data Domain aktiviert ist.
• Wenn das Fix-Flag verwendet wird und NFS deaktiviert ist, aktiviert das Tool NFS automatisch, wodurch standardmäßig NFS Version 3 aktiviert wird.
• Wenn NFS deaktiviert ist, können Avamar und Data Domain nicht ordnungsgemäß kommunizieren.

Systempassphrase für Data Domain

• Stellen Sie sicher, dass die Passphrase für das Data Domain-System festgelegt ist.
• Die Data Domain-Systempassphrase muss festgelegt werden, damit das System Datenverschlüsselung unterstützen, digitale Zertifikate anfordern und vor dem Schreddern von Daten schützen kann.
• Wenn das Fix-Flag verwendet wird und die Passphrase nicht festgelegt ist, werden keine Änderungen vorgenommen und NutzerInnen müssen die Passphrase des Data Domain-Systems zu einem geeigneten Zeitpunkt festlegen, vorzugsweise über die Data Domain-Webschnittstelle unter Administration –> Zugriff –> Administratorzugriff.

Data Domain mit importiertem Host-DDBoost

• Stellen Sie sicher, dass das signierte Hostzertifikat (imported-host ddboost) auf Data Domain vorhanden und nicht abgelaufen ist.
• Dieses Zertifikat wird von MCS (GSAN-Zertifikatskette) signiert.
• Wenn das Fix-Flag verwendet wird und fehlt oder abgelaufen ist, versucht das Tool, es mit den folgenden Schritten neu zu generieren.
  • Löschen Sie das vorhandene importierte Host-ddboost-Zertifikat.
  • Laden Sie die Avamar-GSAN-Zertifikatkette.
  • Löschen Sie das vorhandene importierte ca-ddboost- und login-auth-Zertifikat (Avamar GSAN-Zertifikatkette) auf Data Domain.
  • Starten Sie DDBoost neu.
  • Starten Sie MCS neu.
  • Führen Sie eine Data Domain-Synchronisierung durch, indem Sie den Befehl „mccli dd edit“ senden. Dies führt dazu, dass MCS die neuen Zertifikate erzeugt und in Data Domain importiert.

Der Aussteller des Data Domain-Hosts ist verbunden.

• Überprüfen Sie, ob das von der Data Domain signierte Hostzertifikat (imported-host ddboost) über eine gekoppelte Avamar-GSAN-Zertifikatkette (imported ca ddboost) verfügt, die erfolgreich exportiert werden kann.
• Wenn das Fix-Flag verwendet wird und diese nicht validiert werden kann, versucht das Tool, sie mit den folgenden Schritten neu zu generieren.
  • Löschen Sie das vorhandene importierte Host-ddboost-Zertifikat.
  • Laden Sie die Avamar-GSAN-Zertifikatkette.
  • Löschen Sie das vorhandene importierte ca-ddboost- und login-auth-Zertifikat (Avamar GSAN-Zertifikatkette) auf Data Domain.
  • Starten Sie DDBoost neu.
  • Starten Sie MCS neu.
  • Führen Sie eine Data Domain-Synchronisierung durch, indem Sie den Befehl „mccli dd edit“ senden. Dies führt dazu, dass MCS die neuen Zertifikate erzeugt und in Data Domain importiert.
• Die Bedeutung dieser Überprüfung liegt darin, dass die Data Domain von mehreren Avamar-Servern mit jeweils eigener GSAN-Zertifikatkette verwendet werden kann. Das von Data Domain signierte Hostzertifikat wird nur von einem Avamar signiert und muss in der Lage sein, das Zertifikat zu finden, das es signiert hat.

In Data Domain importierte Avamar-Kette

• Überprüfen Sie, ob die Avamar-GSAN-Zertifikatkette in Data Domain importiert wurde.
• Vergleichen Sie den SHA1-Fingerabdruck der Kette auf dem Avamar-Server mit einem oder mehreren importierten caddboost-Zertifikaten, die in der Data Domain vorhanden sind.
• Diese Überprüfung erfolgt, da die Avamar-Kette möglicherweise nicht importiert wird oder an ihrer Stelle möglicherweise eine alte Avamar-Kette vom selben Server vorhanden ist, z. B. im Falle der Neugenerierung von Zertifikaten auf Avamar.
• Wenn mehrere Avamar-Server dieselbe Data Domain verwenden, muss jede Avamar-GSAN-Zertifikatkette auf der Data Domain als importierter caddboost- und login-auth vorhanden sein. Nur einer von ihnen ist der Aussteller für das signierte Data Domain-Hostzertifikat.
• Wenn das Fix-Flag verwendet wird und diese Überprüfung fehlschlägt, versucht das Tool, sie mit den folgenden Schritten neu zu generieren.
  • Löschen Sie das vorhandene importierte Host-ddboost-Zertifikat.
  • Laden Sie die Avamar-GSAN-Zertifikatkette.
  • Löschen Sie das vorhandene importierte ca-ddboost- und login-auth-Zertifikat (Avamar GSAN-Zertifikatkette) auf Data Domain.
  • Starten Sie DDBoost neu.
  • Starten Sie MCS neu.
  • Führen Sie eine Data Domain-Synchronisierung durch, indem Sie den Befehl „mccli dd edit“ senden. Dies führt dazu, dass MCS die neuen Zertifikate erzeugt und in Data Domain importiert.

Status des Backupplaners

• Dies ist eine Hilfsüberprüfung, um sicherzustellen, dass sich der Backupplaner in einem für NutzerInnen bekannten Status befindet.
• Dies ist die einzige Überprüfung, die zum Starten des Service auffordert, wenn das Fix-Flag verwendet wird oder nicht.

In diesem Video erfahren Sie mehr:

(Sie können sich dieses Video auch auf YouTube ansehen.)