Avamar: Gestione delle impostazioni di sicurezza delle sessioni dalla CLI

Controlli

preliminariPrima di modificare le impostazioni di sicurezza della sessione, è consigliabile effettuare le seguenti operazioni.

• Arrestare tutti i backup, la replica e assicurarsi che non sia in esecuzione alcuna manutenzione (checkpoint/hfscheck/garbage collection).
• Verificare che sia disponibile un checkpoint valido su Avamar.

Panoramica

Lo script seguente installato su ogni Avamar Server viene utilizzato per gestire le impostazioni di sicurezza della sessione.
Eseguire lo script come utente root.

enable_secure_config.sh

Mostrare le impostazioni correnti:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Nell'esempio precedente, la sicurezza della sessione è disabilitata.

Sono disponibili quattro possibili configurazioni supportate:

1. Disabled
2. Misto-Singolo
3. Singolo autenticato
4. Autenticazione doppia

Disabili

L'output seguente mostra le impostazioni per la modalità disabilitata.

Comando:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Come impostare le impostazioni di sicurezza della sessione su disabled:

Comando:

enable_secure_config.sh --enable-all --undo

Output:

#########################  #########################
#########################  #########################
Disabling Avamar Security Features
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Se le impostazioni sono cambiate, MCS deve essere riavviato.


Misto-Singolo

L'output seguente mostra le impostazioni per la modalità singola mista.

Comando:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Mixed mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to mixed mode.
Secure Data Domain Feature is Enabled.

Come impostare le impostazioni di sicurezza della sessione su Mixed-Single:Command:

enable_secure_config.sh --enable-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Comando:

avmaint config --ava verifypeer=no

Output:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Se le impostazioni sono cambiate, MCS deve essere riavviato.


Singolo

autenticatoL'output seguente mostra le impostazioni per la modalità Authenticated-Single.

Comando:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Authenticated mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Come impostare le impostazioni di sicurezza della sessione su Authenticated-Single:Command:

enable_secure_config.sh --enable-secure-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Comando:

avmaint config --ava verifypeer=no

Output:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Se le impostazioni sono cambiate, MCS deve essere riavviato.


Autenticazione doppia

L'output seguente mostra le impostazioni per la modalità doppia autenticata.

Comando:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Come impostare le impostazioni di sicurezza della sessione su Authenticated-Dual:

Command:

enable_secure_config.sh --enable-secure-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Se le impostazioni sono cambiate, MCS deve essere riavviato.


Nota

Utilizzare i seguenti comandi per riavviare MCS e l'utilità di pianificazione del backup come utente amministratore:

mcserver.sh --restart --force
dpnctl start sched