Article Number: 000022820
Le risorse di tipo "NSR peer information" contengono le chiavi pubbliche per gli host remoti utilizzati durante l'autenticazione di RPCSEC_GSS (nsrauth). Quando queste risorse non sono aggiornate, ad esempio quando un client rigenera le chiavi nsrauth eliminando la propria directory /nsr, l'autenticazione di GSS non riesce e viene riportato un messaggio simile a quello presente nel registro del daemon del server:
saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com
Per elencare il numero di risorse "NSR peer information" non corrispondenti, eseguire il seguente comando nel server NetWorker:
# nsradmin -p nsrexec -C "NSR peer information"
Per tentare di correggere le mancate corrispondenze delle risorse "NSR peer information", eseguire il seguente comando nel server NetWorker:
# nsradmin -p nsrexec -C -y "NSR peer information"
Avviso: questa operazione può compromettere la sicurezza di un server NetWorker. In caso di installazione di un host dannoso sulla rete del server con lo stesso nome e l'indirizzo IP di un client esistente, la cancellazione della risorsa "NSR peer information" per l'host sul server può erroneamente eliminare quella legittima, consentendo al client dannoso di sostituire il certificato legittimo con il proprio certificato e rappresentare quindi il client legittimo. Affinché ciò avvenga, il client legittimo deve essere spento mentre il client dannoso è presente sulla rete del server. Il cliente deve essere consapevole di questo rischio prima di eseguire la procedura.
Esempio di output:
# nsradmin -p nsrexec -C "NSR peer information"
Validate "NSR peer information" resources
Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.
Peer 1 of 2
Hostname: mars.emc.com
Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329
* The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.
Matching certificates: No
Peer 2 of 2
Hostname: jupiter.emc.com
Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329
Matching certificates: Sì
Riepilogo:
NSR peer information resources checked: 2
RAP connect errors: 0
RAP query errors: 0
Resource mismatches: 1
Resources corrected: 0
Peers with mismatched certificates/instance IDs: mars.emc.com
Total errors: 1
NetWorker: come utilizzare la convalida delle risorse nsradmin -C
Le opzioni nsradmin -C e -y sono state introdotte nelle seguenti versioni di NetWorker:
EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4
| Comando | Disponibilità |
|---|---|
| nsradmin -C "type: NSR client" | 8.2.1, 8.2.0.3, 8.1.2, 8.0.4.2 e versioni successive |
| nsradmin -p nsrexecd -C "type: NSR peer information" | 8.2.1, 8.2.0.3, 8.1.2, 8.0.4.2 e versioni successive |
| nsradmin -C "type: NSR usergroup" | 8.2.1, 8.2.0.4, 8.1.2.2, 8.0.4.4 e versioni successive |
| nsradmin -C "type: NSR storage node" | 8.2.2 e versioni successive |
| auto-correction using -y | 8.2.1.2, 8.1.3, 8.0.4.4 e versioni successive |
| Visual mode on Windows | 8.2.2, 9.1 e versioni successive |
NetWorker
NetWorker, NetWorker Series
10 Jun 2021
3
How To