Avamar. Управление параметрами безопасности сеанса с помощью установочного пакета Avinstaller (AVP)

Скачать AVP безопасности сеансов

Для просмотра загрузок перейдите по следующей ссылке поддержки продуктов Dell и войдите в систему .

Например, выберите соответствующую версию Avamar.



Найдите пакет рабочего процесса Avamar Session Security Configuration.




Предварительные проверки перед установкой

Перед запуском пакета конфигурации безопасности сеансов рекомендуется выполнить следующие действия.

• Остановите все операции резервного копирования, репликации и убедитесь, что обслуживание (контрольная точка/hfscheck/сборка мусора) не выполняется.
• Убедитесь, что в Avamar доступна действительная контрольная точка.

Установка AVP безопасности сеансов

После скачивания соответствующего пакета конфигурации безопасности сеансов существует два варианта установки этого пакета, чтобы использовать его.

Вариант 1:
Непосредственно переместите скачанный пакет в следующий каталог. Сервис Avinstaller обнаруживает изменения в каталоге и начинает автоматическую загрузку пакета в репозиторий пакета.
 

/data01/avamar/repo/packages/

Вариант 2:
Перейдите в веб-сервис Avinstaller по следующей ссылке:
 

https://<avamar_server_ip_or_hostname>/avi

Перейдите в раздел репозитория:



Найдите на локальном компьютере пакет конфигурации Session Security.



Обработка пакета:



Как только он будет готов, он получит статус «Принят».



Перейдите на вкладку «Maintenance», чтобы запустить пакет.




Управление параметрами безопасности сеансов

На экране «Installation Setup» выберите вкладку «Security Settings» и установите флажок «Show advanced settings».




Выбор

режимаВ раскрывающемся списке «Client-Server Communication and Authentication Type» можно выбрать один из четырех поддерживаемых режимов безопасности сеанса:

1. Disabled
2. Смешанный-Одиночный
3. Аутентифицированный — один
4. Аутентифицированный — двойная

Если настройки изменены, MCS перезапустится во время выполнения пакета.

Дополнительные сведения о различных режимах см. в следующей статье базы знаний:

000222278 | Avamar: Безопасность

сеансаСоздать сертификаты

Существует два варианта создания сертификатов:

1. Генерировать только сертификаты сервера
   • При выборе «Только оно» выполняется только создание сертификатов сервера GSAN.
   • Примечание к AVP гласит: «Создает и распространяет сертификаты сервера на узлах сервера и хранения Avamar, которые будут использоваться для проверки подлинности сервера и/или клиента с помощью сертификата CA, установленного в хранилище ключей».
   • При этом на сервере Avamar Server выполняется следующее:
     • Запустите сценарий enable_secure_config.sh:

     • enable_secure_config.sh --certs

     • При этом выполняется следующее:
       • Экспортируйте внутренний корневой сертификат Avamar из хранилища ключей Avamar.

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Этот корневой сертификат сохраняется в следующих папках:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Затем корневой сертификат в avamar_keystore будет использоваться для подписания новой пары ключей сертификата для GSAN и сохранения в следующих местоположениях:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Затем эти сертификаты распространяются на все узлы хранения.
       • Наконец, SSL-сокет GSAN перезагружается, чтобы новые подключения к порту 29000 обслуживали заново созданные сертификаты.
   • Обратите внимание, что при таком выборе внутренний корневой сертификат Avamar не изменяется, поэтому зарегистрированным клиентам, прокси-серверам и системам Data Domain повторная регистрация не требуется.
2. Сгенерировать все новые сертификаты
   • Если этот флажок установлен, автоматически устанавливается флажок «Generate Server Certificates Only».
   • Это связано с процессом, который происходит при создании всех новых сертификатов.
   • Примечание от AVP гласит: «Воссоздает mcrootca и генерирует все новые корневые сертификаты root, TLS и EC».
   • Для этого выполняются следующие действия:
     • Повторное создание внутреннего корневого источника сертификатов (CA) Avamar

       • mcrootca all

       • Он заменяет внутренний корневой CA Avamar, хранящийся в avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • Внутренний корневой сертификат Avamar можно просмотреть с помощью следующей команды:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Повторно создайте сертификаты GSAN, как описано в разделе «Только для создания сертификатов сервера»
   • При таком выборе, так как внутренний корневой ИС Avamar создается повторно, необходимо повторно зарегистрировать прокси-серверы, клиенты и системы Data Domain , чтобы получить новый корневой ЦС Avamar и подписанный сертификат от Avamar MCS, обеспечивающий безопасный взаимный обмен данными по протоколу TLS с Avamar.
   • Если при таком выборе ранее (с помощью importcert.sh была выполнена процедура замены внутреннего корневого источника сертификатов Avamar внутренним корневым источником сертификатов, предоставленным пользователем), эта конфигурация будет удалена, а будут созданы доверенные самозаверяющие сертификаты Avamar. Дополнительные сведения см. в следующей статье базы знаний: 000204629 | Avamar: Установка или замена Avamar Certificate Authority (CA) на предоставленный пользователем источник сертификатов (CA).

Когда будете готовы, продолжите выполнение пакета.

Этот пакет можно использовать любое количество раз, так как он может быть использован для настройки этих параметров при необходимости.