Avamar: Gestione delle impostazioni di sicurezza della sessione con Avinstaller Installation Package (AVP)

Sicurezza della sessione di download AVP

Accedere al seguente link del supporto per i prodotti Dell ed effettuare l'accesso per visualizzare i download.

Ad esempio, selezionare la versione appropriata di Avamar.



Cercare il pacchetto di flusso di lavoro Avamar Session Security Configuration.




Controlli preliminari prima dell'installazione

È consigliabile effettuare le seguenti operazioni prima di eseguire il pacchetto di configurazione della sicurezza della sessione.

• Arrestare tutti i backup, la replica e assicurarsi che non sia in esecuzione alcuna manutenzione (checkpoint/hfscheck/garbage collection).
• Verificare che sia disponibile un checkpoint valido su Avamar.

Installa sicurezza sessione AVP

Dopo aver scaricato il pacchetto di configurazione della sicurezza della sessione appropriato, sono disponibili due opzioni per installare il pacchetto per poterlo utilizzare.

Opzione 1:
Spostare direttamente il pacchetto scaricato nella directory seguente. Il servizio Avinstaller rileva le modifiche apportate alla directory e inizia automaticamente a caricare il pacchetto nel repository dei pacchetti.
 

/data01/avamar/repo/packages/

Opzione 2:
Accedere al servizio web Avinstaller al seguente link:
 

https://<avamar_server_ip_or_hostname>/avi

Passare alla sezione Repository:



Sfogliare il computer locale per il pacchetto di configurazione della sicurezza della sessione.



Il pacchetto viene elaborato:



Una volta pronto, lo stato è "Accettato".



Passare alla scheda "Maintenance" per eseguire il pacchetto.




Gestione delle impostazioni

di sicurezza delle sessioniNella schermata "Installation Setup", selezionare la scheda Security Settings e selezionare la casella di controllo "Show advanced settings".




Selezione

della modalitàL'elenco a discesa "Tipo di comunicazione e autenticazione client-server" consente di selezionare le quattro modalità di sicurezza della sessione supportate:

1. Disabled
2. Misto-Singolo
3. Singolo autenticato
4. Autenticazione doppia

Se le impostazioni vengono modificate, MCS si riavvia durante l'esecuzione del pacchetto.

Per ulteriori informazioni sulle diverse modalità, consultare il seguente articolo della Knowledge Base:

000222278 | Avamar: Sicurezza della

sessioneGenerazione di certificati

Sono disponibili due opzioni di selezione per la generazione di certificati:

1. Genera solo certificati server
   • Se selezionato da solo, rigenera solo i certificati del server GSAN.
   • La nota dell'AVP dice: "Crea e propaga i certificati del server sull'Avamar Server e sugli storage node, da utilizzare per l'autenticazione del server e/o del client utilizzando il certificato CA installato nell'archivio chiavi".
   • Questa operazione esegue quanto segue sull'Avamar Server:
     • Eseguire lo script enable_secure_config.sh:

     • enable_secure_config.sh --certs

     • In questo modo vengono eseguite le seguenti operazioni:
       • Esportare il certificato root interno di Avamar dal keystore Avamar:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Il certificato radice viene salvato nelle seguenti posizioni:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Il certificato radice nella avamar_keystore verrà quindi utilizzato per firmare una nuova coppia di chiavi di certificato per GSAN e salvarlo nelle seguenti posizioni:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Questi certificati vengono quindi propagati a tutti gli storage node.
       • Infine, il socket SSL GSAN viene ricaricato in modo che le nuove connessioni alla porta 29000 servano i certificati rigenerati.
   • Si noti che con questa selezione il certificato root interno di Avamar non viene modificato, pertanto i client registrati, i proxy e i sistemi Data Domain non dovranno registrarsi nuovamente.
2. Genera tutti i nuovi certificati
   • Quando questa casella di controllo è selezionata, viene automaticamente selezionata anche la casella di controllo "Generate Server Certificates Only".
   • Ciò è dovuto al processo che si verifica durante la generazione di tutti i nuovi certificati.
   • La nota dell'AVP dice: "Ricrea mcrootca e genera tutti i nuovi certificati radice CE, TLS ed EC".
   • Vengono eseguiti i passaggi seguenti:
     • Rigenerazione dell'autorità di certificazione (CA) root interna di Avamar

       • mcrootca all

       • In questo modo viene sostituita la CA root interna di Avamar archiviata nel avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • Il certificato root interno di Avamar può essere visualizzato con il seguente comando:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Rigenerare i certificati GSAN come descritto in "Generazione solo di certificati server"
   • Con questa selezione, poiché la CA root interna di Avamar viene rigenerata, è necessario registrare nuovamente i proxy, i client e i sistemi Data Domain registrati al fine di acquisire la nuova CA root di Avamar e un certificato firmato dall MCS di Avamar che consente una comunicazione TLS reciproca sicura con Avamar.
   • Con questa selezione, se in precedenza è stata seguita la procedura per sostituire la CA radice interna di Avamar con una CA radice interna fornita dall'utente (utilizzando importcert.sh), la configurazione viene cancellata e vengono generati certificati autofirmati attendibili internamente Avamar. Per ulteriori informazioni, consultare l'articolo della KB seguente, 000204629 | Avamar: Installare/sostituire l'autorità di certificazione (CA) Avamar con l'autorità di certificazione (CA) fornita dall'utente.

Al termine, continuare con l'esecuzione del pacchetto.

Questo pacchetto può essere utilizzato un numero qualsiasi di volte, in quanto può essere utilizzato per configurare queste impostazioni quando necessario.