Avamar: Hallitse istunnon suojausasetuksia Avinstaller-asennuspaketin (AVP) avulla

Lataa istunnon suojaus AVP

Siirry seuraavaan Dell-tuotetuen linkkiin ja kirjaudu sisään, niin näet lataukset.

Valitse esimerkiksi sopiva Avamar-versio.



Etsi Avamar Session Security Configuration -työnkulkupaketti.




Esitarkistukset ennen asennusta

Seuraavat toimet kannattaa tehdä ennen istunnon suojauksen määrityspaketin suorittamista.

• Pysäytä kaikki varmuuskopioinnit ja replikointi ja varmista, ettei ylläpitoa ole käynnissä (tarkistuspiste/hfscheck/roskien keräys).
• Tarkista, että Avamarissa on kelvollinen tarkistuspiste.

Asenna istunnon suojaus AVP

Kun olet ladannut asianmukaisen istunnon suojauksen määrityspaketin, voit asentaa paketin kahdella tavalla, jotta voit käyttää sitä.

Vaihtoehto 1:
Siirrä ladattu paketti suoraan seuraavaan hakemistoon. Avinstaller-palvelu havaitsee hakemistoon tehdyt muutokset ja alkaa ladata pakettia automaattisesti pakettivarastoon.
 

/data01/avamar/repo/packages/

Vaihtoehto 2:
Siirry Avinstaller-verkkopalveluun seuraavasta linkistä:
 

https://<avamar_server_ip_or_hostname>/avi

Siirry Säilö-osaan:



Etsi istunnonsuojauksen määrityspaketti paikallisesta tietokoneesta.



Paketti käsitellään:



Kun paketti on valmis, sen tila on "Hyväksytty".



Siirry Maintenance-välilehteen ja suorita paketti.




Istunnon suojausasetusten

hallintaValitse Installation Setup -näytössä Security Settings -välilehti ja valitse Show advanced settings -valintaruutu.




Tilan valinta

Avattavan Client-Server Communication and Authentication Type -valikon valinnalla voi valita neljä tuettua istunnon suojaustilaa:

1. Ei käytössä
2. Sekalainen sinkku
3. Todennettu yksittäinen
4. Todennettu – kaksi

Jos asetuksia muutetaan, MCS käynnistyy uudelleen osana paketin suorittamista.

Lisätietoja eri tiloista on seuraavassa tietämyskannan artikkelissa:

000222278 | Avamar: Istunnon suojaus

Luo varmenteita

Varmenteiden luontiin on kaksi vaihtoehtoa:

1. Luo vain palvelinvarmenteita
   • Kun vaihtoehto on valittu, vain GSAN-palvelinvarmenteet luodaan uudelleen.
   • AVP:n huomautuksessa sanotaan: "Luo ja levittää palvelinvarmenteita Avamar-palvelimelle ja tallennussolmuille käytettäväksi palvelimen ja/tai asiakkaan todennukseen avainsäilöön asennetun CA-varmenteen avulla."
   • Avamar-palvelimessa toimi seuraavasti:
     • Suorita enable_secure_config.sh komentosarja:

     • enable_secure_config.sh --certs

     • Tämä suorittaa seuraavat toimet:
       • Avamarin sisäisen päävarmenteen vieminen Avamar-avainsäilöstä:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Tämä päävarmenne tallennetaan seuraaviin sijainteihin:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Tämän jälkeen avamar_keystore päävarmennetta käytetään uuden varmenteen avainparin allekirjoittamiseen GSANille ja tallentamiseen seuraaviin sijainteihin:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Nämä varmenteet levitetään sitten mihin tahansa tallennussolmuun.
       • Lopuksi GSAN SSL -kanta ladataan uudelleen, joten uudet yhteydet porttiin 29000 palvelevat uudistettuja varmenteita.
   • Huomaa, että tämä valinta ei muuta Avamarin sisäistä päävarmennetta, joten rekisteröityjä asiakkaita, välityspalvelimia ja Data Domain -järjestelmiä ei tarvitse rekisteröidä uudelleen.
2. Luo kaikki uudet varmenteet
   • Kun tämä valintaruutu on valittuna, se valitsee automaattisesti myös "Luo vain palvelinvarmenteet" -valintaneliön.
   • Tämä johtuu prosessista, joka tapahtuu luotaessa kaikkia uusia varmenteita.
   • AVP:n muistiinpanossa sanotaan: "Luo uudelleen mcrootcan ja luo kaikki uudet root-, TLS- ja EC-juurivarmenteet."
   • Tämä suorittaa seuraavat vaiheet:
     • Avamarin sisäisen päävarmenteen myöntäjän (CA) uudistaminen

       • mcrootca all

       • Tämä korvaa avamar_keystore tallennetun Avamarin sisäisen varmenteiden myöntäjän

       • /usr/local/avamar/lib/avamar_keystore
         

       • Avamarin sisäistä päävarmennetta voi tarkastella seuraavalla komennolla:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Luo GSAN-varmenteet uudelleen kohdassa "Luo vain palvelinvarmenteet" kuvatulla tavalla
   • Koska Avamarin sisäinen päävarmenteiden myöntäjä on luotu, rekisteröidyt välityspalvelimet, asiakkaat ja Data Domain -järjestelmät on tämän valinnan myötä rekisteröitävä uudelleen , jotta voidaan hankkia uusi Avamar root CA ja allekirjoitettu varmenne Avamar MCS:ltä, mikä mahdollistaa turvallisen keskinäisen TLS-viestinnän Avamarin kanssa.
   • Jos tällä valinnalla on noudatettu aiemmin ohjeita Avamarin sisäisen päävarmenteen myöntäjän korvaamiseksi käyttäjän toimittamalla sisäisellä päävarmenteella (käyttämällä importcert.sh), määritys tyhjenee ja luo sisäisesti luotettuja Avamarin itse allekirjoittamia varmenteita. Lisätietoja on seuraavassa tietämyskannan artikkelissa 000204629 | Avamar: Avamar Certificate Authorityn (CA) asentaminen tai korvaaminen käyttäjän toimittamalla varmenteiden myöntäjällä (CA).

Kun olet valmis, jatka paketin suorittamista.

Tätä pakettia voidaan käyttää kuinka monta kertaa tahansa, koska sitä voidaan käyttää näiden asetusten määrittämiseen tarvittaessa.