NetWorker : comment effacer automatiquement les ressources NSR peer information incohérentes en utilisant nsradmin -C

Les ressources NSR peer information contiennent les clés publiques des hôtes distants utilisées lors de l’authentification RPCSEC_GSS (nsrauth). Lorsque ces ressources sont obsolètes, par exemple lorsqu’un client régénère ses clés nsrauth en supprimant son répertoire /nsr, l’authentification GSS échoue et un message similaire au suivant s’affiche dans le journal des processus du serveur :

saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Pour répertorier le nombre de ressources NSR peer information incohérentes, exécutez la commande suivante sur le serveur NetWorker :

# nsradmin -p nsrexec -C  "NSR peer information"

Pour tenter de corriger les incohérences de ressources NSR peer information, exécutez la commande suivante sur le serveur NetWorker :

# nsradmin -p nsrexec -C -y "NSR peer information"

Avertissement : cette opération peut compromettre la sécurité d’un serveur NetWorker. Si un hôte malveillant a pu être installé sur le réseau du serveur avec le même nom et la même adresse IP qu’un client existant, l’effacement de la ressource NSR peer information pour l’hôte sur le serveur peut supprimer par erreur l’adresse légitime, ce qui permettra au client malveillant de remplacer le certificat légitime par son propre certificat, et donc d’usurper l’identité du client légitime. Pour que cela se produise, le client légitime doit être mis hors tension pendant que le client malveillant existe sur le réseau du serveur. Le client doit être informé de ce risque avant d’exécuter la procédure.
 

Exemple de résultat :

# nsradmin -p nsrexec -C "NSR peer information"

Validate "NSR peer information" resources

Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.

Peer 1 of 2

 Hostname: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.

 Matching certificates: Aucune

Peer 2 of 2

 Hostname: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matching certificates: Oui

Résumé :

NSR peer information resources checked:       2

        RAP connect errors:                   0

        RAP query errors:                     0

        Resource mismatches:                  1

        Resources corrected:                  0

Peers with mismatched certificates/instance IDs: mars.emc.com

Total errors:                                 1

NetWorker :  utilisation de la validation des ressources nsradmin -C

Les options nsradmin -C et -y ont été introduites dans les versions suivantes de NetWorker :  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4