Avamar. Управление параметрами безопасности сеанса из интерфейса командной строки

Предварительные

проверкиПеред изменением параметров безопасности сеанса рекомендуется выполнить следующие действия.

• Остановите все операции резервного копирования, репликации и убедитесь, что обслуживание (контрольная точка/hfscheck/сборка мусора) не выполняется.
• Убедитесь, что в Avamar доступна действительная контрольная точка.

Обзор

Для управления параметрами безопасности сеансов используется следующий сценарий, установленный на каждом сервере Avamar.
Запустите сценарий от имени пользователя root.

enable_secure_config.sh

Отображение текущих настроек:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

В приведенном выше примере безопасность сеанса отключена.

Возможны четыре поддерживаемые конфигурации:

1. Disabled
2. Смешанный-Одиночный
3. Аутентифицированный — один
4. Аутентифицированный — двойная

Отключен

В следующих выходных данных отображаются настройки отключенного режима.

Команды:

enable_secure_config.sh --showconfig

Выход:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Как отключить параметры безопасности сеанса.

Команды:

enable_secure_config.sh --enable-all --undo

Выход:

#########################  #########################
#########################  #########################
Disabling Avamar Security Features
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Если настройки изменились, необходимо перезапустить MCS.


Смешанный-Одиночный

В следующих выходных данных показаны настройки для смешанного одиночного режима.

Команды:

enable_secure_config.sh --showconfig

Выход:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Mixed mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to mixed mode.
Secure Data Domain Feature is Enabled.

Как установить для параметров безопасности сеанса значение Mixed-Single:

Command:

enable_secure_config.sh --enable-all

Выход:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Команда:

avmaint config --ava verifypeer=no

Выход:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Если настройки изменились, необходимо перезапустить MCS.


Аутентифицированный — один

В следующих выходных данных показаны настройки для режима с аутентификацией одиночного экземпляра.

Команды:

enable_secure_config.sh --showconfig

Выход:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Authenticated mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Как установить для параметров безопасности сеанса значение Authenticated-Single:

Command:

enable_secure_config.sh --enable-secure-all

Выход:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Команда:

avmaint config --ava verifypeer=no

Выход:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Если настройки изменились, необходимо перезапустить MCS.


Аутентифицированный — двойная

В следующих выходных данных показаны настройки для режима

с аутентификацией.Команды:

enable_secure_config.sh --showconfig

Выход:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Как установить для параметров безопасности сеанса значение Authenticated-Dual:

Command:

enable_secure_config.sh --enable-secure-all

Выход:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Если настройки изменились, необходимо перезапустить MCS.


Примечание

Выполните следующие команды для перезапуска MCS и планировщика резервного копирования в качестве пользователя-администратора:

mcserver.sh --restart --force
dpnctl start sched