Авамар: Керування параметрами безпеки сеансу з інтерфейсу командного рядка

Попередня перевірка

Перш ніж змінювати параметри безпеки сеансу, краще виконати наведені нижче дії.

• Зупиніть усі резервні копії, реплікацію та переконайтеся, що не виконується технічне обслуговування (контрольна точка/hfscheck/збір сміття).
• Перевірте, чи є дійсна контрольна точка, доступна на Avamar.

Огляд

Наведений нижче сценарій, встановлений на кожному сервері Avamar, використовується для керування налаштуваннями безпеки сеансу.
Запустіть скрипт від імені користувача root.

enable_secure_config.sh

Показати поточні налаштування:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

У наведеному вище прикладі функцію «Безпека сеансу» вимкнено.

Існує чотири можливі підтримувані конфігурації:

1. Вимкнуто
2. Змішаний сингл
3. Аутентифікований-одиночний
4. Автентифікований-подвійний

Вимкнуто

Наступний вихід показує налаштування вимкненого режиму.

Команда:

enable_secure_config.sh --showconfig

Вихід:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Як вимкнути налаштування безпеки сеансу:

Команда:

enable_secure_config.sh --enable-all --undo

Вихід:

#########################  #########################
#########################  #########################
Disabling Avamar Security Features
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Якщо налаштування змінилися, MCS необхідно перезапустити.


Змішаний сингл

У наведеному нижче виводі показані параметри змішаного одиночного режиму.

Команда:

enable_secure_config.sh --showconfig

Вихід:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Mixed mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to mixed mode.
Secure Data Domain Feature is Enabled.

Як встановити параметри безпеки сеансу на Mixed-Single:

Command:

enable_secure_config.sh --enable-all

Вихід:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Команда:

avmaint config --ava verifypeer=no

Вихід:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Якщо налаштування змінилися, MCS необхідно перезапустити.


Аутентифікований-одиночний

У наведеному нижче виводі показано параметри для єдиного режиму автентифікації.

Команда:

enable_secure_config.sh --showconfig

Вихід:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Authenticated mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Як встановити параметри безпеки сеансу на Authenticated-Single:

Command:

enable_secure_config.sh --enable-secure-all

Вихід:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Команда:

avmaint config --ava verifypeer=no

Вихід:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Якщо налаштування змінилися, MCS необхідно перезапустити.


Автентифікований-подвійний

У наведеному нижче виводі показано параметри для подвійного режиму автентифікації.

Команда:

enable_secure_config.sh --showconfig

Вихід:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Як встановити параметри безпеки сеансу на Authenticated-Dual:

Command:

enable_secure_config.sh --enable-secure-all

Вихід:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Якщо налаштування змінилися, MCS необхідно перезапустити.


Примітка

Використовуйте такі команди, щоб перезапустити MCS і планувальник резервного копіювання від імені адміністратора:

mcserver.sh --restart --force
dpnctl start sched