Avamar: Administrer sikkerhetsinnstillinger for økt med AVP-installasjonsinstallasjonspakke (AVP)

Last ned øktsikkerhet AVP

Gå til følgende kobling for Dell-produktstøtte, og logg på for å se nedlastinger.

Velg for eksempel riktig Avamar-versjon.



Søk etter arbeidsflytpakken for sikkerhetskonfigurasjon av Avamar-økten.




Forhåndskontroller før installasjon

Det anbefales å utføre følgende før du kjører konfigurasjonspakken for øktsikkerhet.

• Stopp alle sikkerhetskopieringer, replikering, og kontroller at ingen vedlikehold kjører (checkpoint/hfscheck/søppelrydding).
• Kontroller at det finnes et gyldig sjekkpunkt på Avamar.

Installer øktsikkerhet AVP

Når du har lastet ned den aktuelle konfigurasjonspakken for øktsikkerhet, er det to alternativer for å installere pakken for å kunne bruke den.

Alternativ 1:
Flytt den nedlastede pakken direkte til følgende katalog. Avinstaller-tjenesten oppdager endringer i katalogen og starter automatisk lasting av pakken i pakkelageret.
 

/data01/avamar/repo/packages/

Alternativ 2:
Gå til Avinstaller-webtjenesten på følgende lenke:
 

https://<avamar_server_ip_or_hostname>/avi

Gå til Repositorium-delen:



Bla gjennom den lokale maskinen din for konfigurasjonspakken for øktsikkerhet.



Pakken behandler:



Når den er klar, er statusen Godtatt.



Gå til "Maintenance"-fanen for å kjøre pakken.




Administrer sikkerhetsinnstillinger

for øktPå skjermbildet "Installation Setup" velger du kategorien Security Settings og merker av i boksen




"Show advanced settings".Valg

av modusRullegardinmenyen "Client-Server Communication and Authentication Type" tillater valg av de fire støttede øktsikkerhetsmodusene:

1. Deaktivert
2. Blandet singel
3. Godkjent – enkel
4. Godkjent-dobbel

Hvis innstillingene endres, starter MCS på nytt som en del av kjøringen av pakken.

Hvis du vil ha mer informasjon om de ulike modusene, kan du se følgende KB-artikkel:

000222278 | Avamar: Øktsikkerhet

Generer sertifikater

Det finnes to valgalternativer for generering av sertifikater:

1. Generer bare serversertifikater
   • Når dette alternativet velges alene, genereres bare GSAN-serversertifikatene på nytt.
   • Merknaden fra AVP sier: "Oppretter og overfører serversertifikater på Avamar-server- og lagringsnoder, som skal brukes til server- og / eller klientgodkjenning ved hjelp av CA-sertifikatet som er installert i nøkkellageret."
   • Dette utfører følgende på Avamar-serveren:
     • Kjør det enable_secure_config.sh skriptet:

     • enable_secure_config.sh --certs

     • Dette utfører følgende:
       • Eksporter Avamar internt rotsertifikat fra Avamar keystore:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Dette rotsertifikatet blir lagret på følgende steder:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Deretter brukes rotsertifikatet i avamar_keystore til å signere et nytt sertifikatnøkkelpar for GSAN, og lagre på følgende steder:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Disse sertifikatene overføres deretter til alle lagringsnoder.
       • Til slutt blir GSAN SSL-sokkelen lastet inn på nytt, slik at nye tilkoblinger til port 29000 betjener de regenererte sertifikatene.
   • Vær oppmerksom på at med dette valget endres ikke det interne Avamar-rotsertifikatet. Registrerte klienter, proxyer og Data Domain-systemer trenger derfor ikke å registrere seg på nytt.
2. Generer alle nye sertifikater
   • Når denne avmerkingsboksen er valgt, merker den automatisk også av for "Generer bare serversertifikater".
   • Dette er på grunn av prosessen som oppstår når du genererer alle nye sertifikater.
   • Notatet fra AVP sier: "Gjenskaper mcrootca og genererer alle nye rot-, TLS- og EC-rotsertifikater."
   • Dette utfører følgende trinn:
     • Generer Avamar intern rotsertifiseringsinstans (CA) på nytt

       • mcrootca all

       • Dette erstatter den interne rotsertifiseringsinstansen for Avamar som er lagret i avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • Det interne rotsertifikatet til Avamar kan vises med følgende kommando:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Generer GSAN-sertifikater på nytt som beskrevet i "Generer bare serversertifikater"
   • Siden Avamars interne rotsertifiseringsinstans genereres på nytt, må registrerte proxyer, klienter og Data Domain-systemer registreres på nytt for å hente den nye Avamar-rotsertifiseringsinstansen og et signert sertifikat fra Avamar MCS, noe som muliggjør sikker gjensidig TLS-kommunikasjon med Avamar.
   • Hvis fremgangsmåten for å erstatte den interne rotsertifiseringsinstansen i Avamar med en brukerangitt intern rotsertifiseringsinstans er fulgt tidligere (ved hjelp av importcert.sh), sletter dette denne konfigurasjonen og genererer Avamar internt klarerte selvsignerte sertifikater. Se følgende KB hvis du vil ha mer informasjon, 000204629 | Avamar: Installere/erstatte Avamar Certificate Authority (CA) med brukerlevert sertifiseringsinstans (CA).

Når du er klar, fortsetter du å kjøre pakken.

Denne pakken kan brukes et ubegrenset antall ganger, siden den kan brukes til å konfigurere disse innstillingene når det er nødvendig.