Avamar: Sessiebeveiligingsinstellingen beheren vanuit CLI

Controles

voorafHet is raadzaam om het volgende uit te voeren voordat u de instellingen voor sessiebeveiliging wijzigt.

• Stop alle back-ups en replicatie, en zorg ervoor dat er geen onderhoud wordt uitgevoerd (checkpoint/hfscheck/garbage collection).
• Controleer of er een geldig controlepunt beschikbaar is op Avamar.

Overzicht

Het volgende script dat op elke Avamar-server is geïnstalleerd, wordt gebruikt om de sessiebeveiligingsinstellingen te beheren.
Voer het script uit als rootgebruiker.

enable_secure_config.sh

Toon de huidige instellingen:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

In het bovenstaande voorbeeld is sessiebeveiliging uitgeschakeld.

Er zijn vier mogelijke ondersteunde configuraties:

1. Disabled
2. Gemengd-Single
3. Geauthenticeerd-single
4. Authenticated-Dual

Handicap

De volgende uitvoer toont de instellingen voor de uitgeschakelde modus.

Opdracht:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Sessiebeveiligingsinstellingen instellen op Uitgeschakeld:

Opdracht:

enable_secure_config.sh --enable-all --undo

Output:

#########################  #########################
#########################  #########################
Disabling Avamar Security Features
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Als de instellingen zijn gewijzigd, moet MCS opnieuw worden gestart.


Gemengd-Single

De volgende uitvoer toont de instellingen voor de modus

mixed-single.Opdracht:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Mixed mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to mixed mode.
Secure Data Domain Feature is Enabled.

De instellingen voor sessiebeveiliging instellen op Mixed-Single:

Command:

enable_secure_config.sh --enable-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Opdracht:

avmaint config --ava verifypeer=no

Output:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Als de instellingen zijn gewijzigd, moet MCS opnieuw worden gestart.


Geauthenticeerd-single

De volgende uitvoer toont de instellingen voor geverifieerde enkelvoudige modus.

Opdracht:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Authenticated mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Sessiebeveiligingsinstellingen instellen op Authenticated-Single:

Command:

enable_secure_config.sh --enable-secure-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Opdracht:

avmaint config --ava verifypeer=no

Output:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Als de instellingen zijn gewijzigd, moet MCS opnieuw worden gestart.


Authenticated-Dual

De volgende uitvoer toont de instellingen voor geverifieerde-dubbele modus.

Opdracht:

enable_secure_config.sh --showconfig

Output:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Sessiebeveiligingsinstellingen instellen op Authenticated-Dual:

Command:

enable_secure_config.sh --enable-secure-all

Output:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Als de instellingen zijn gewijzigd, moet MCS opnieuw worden gestart.


Opmerking

Gebruik de volgende opdrachten om MCS en de back-upplanner opnieuw op te starten als beheerder:

mcserver.sh --restart --force
dpnctl start sched