Avamar: Administración de la configuración de seguridad de la sesión desde la CLI

Comprobaciones previas

Se recomienda realizar lo siguiente antes de cambiar la configuración de seguridad de la sesión.

• Detenga todos los respaldos y la replicación, y asegúrese de que no haya ningún mantenimiento en ejecución (punto de control/hfscheck/recolección de elementos no utilizados).
• Compruebe que haya un punto de control válido disponible en Avamar.

Visión general

El siguiente script instalado en cada servidor Avamar se utiliza para administrar la configuración de seguridad de sesión.
Ejecute el script como usuario raíz.

enable_secure_config.sh

Mostrar la configuración actual:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

En el ejemplo anterior, la seguridad de sesión está deshabilitada.

Hay cuatro configuraciones compatibles posibles:

1. Deshabilitado
2. Mixto-Sencillo
3. Autenticado: único
4. Autenticado: doble

Deshabilitado

En la siguiente salida se muestra la configuración del modo deshabilitado.

Comando:

enable_secure_config.sh --showconfig

Salida:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Cómo establecer los ajustes de seguridad de la sesión en deshabilitados:

Comando:

enable_secure_config.sh --enable-all --undo

Salida:

#########################  #########################
#########################  #########################
Disabling Avamar Security Features
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Si la configuración ha cambiado, MCS se debe reiniciar.


Mixto-Sencillo

En la siguiente salida se muestra la configuración del modo mixto único.

Comando:

enable_secure_config.sh --showconfig

Salida:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Mixed mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to mixed mode.
Secure Data Domain Feature is Enabled.

Cómo establecer los ajustes de seguridad de la sesión en Mixed-Single:

Command:

enable_secure_config.sh --enable-all

Salida:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Comando:

avmaint config --ava verifypeer=no

Salida:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Si la configuración ha cambiado, MCS se debe reiniciar.


Autenticado: único

En la siguiente salida se muestra la configuración del modo autenticado único.

Comando:

enable_secure_config.sh --showconfig

Salida:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

Client and Server Communication set to Authenticated mode with One-Way/Single Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Cómo establecer los ajustes de seguridad de la sesión en Authenticated-Single:

Command:

enable_secure_config.sh --enable-secure-all

Salida:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Comando:

avmaint config --ava verifypeer=no

Salida:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<gsanconfig verifypeer="yes"/>

Si la configuración ha cambiado, MCS se debe reiniciar.


Autenticado: doble

En la siguiente salida se muestra la configuración del modo dual autenticado.

Comando:

enable_secure_config.sh --showconfig

Salida:

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Cómo establecer los ajustes de seguridad de la sesión en Authenticated-Dual:

Command:

enable_secure_config.sh --enable-secure-all

Salida:

#########################  #########################
#########################  #########################
Enabling Avamar Security Features

Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
Restart MCS for security features changes to take effect.
INFO: Administrator Server ping successful.
Setting Mutual server/client authentication
Editing /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

Done

Si la configuración ha cambiado, MCS se debe reiniciar.


Nota

Utilice los siguientes comandos para reiniciar MCS y el programador de respaldo como usuario administrador:

mcserver.sh --restart --force
dpnctl start sched