NetWorker: Postup automatického mazání neshodných NSR peer informací pomocí nsradmin -C.
Zhrnutie: Opravte neodpovídající zdroje informací NSR peer mezi serverem NetWorker a jeho klienty.
Pokyny
Zdroje NSR peer informací obsahují veřejné klíče pro vzdálené hostitele používané při ověřování RPCSEC_GSS (nsrauth). Když tyto zdroje zastarají, například když klient znovu vygeneruje své klíče nsrauth odstraněním adresáře /nsr, ověření GSS se nezdaří a v daemon logu serveru se zobrazí zpráva podobná té následující:
saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com
Chcete-li zobrazit seznam neodpovídajících zdrojů NSR peer informací, spusťte na serveru NetWorker následující příkaz:
# nsradmin -p nsrexec -C "NSR peer information"
Chcete-li se pokusit opravit neodpovídající zdroje NSR peer informací, spusťte na serveru NetWorker následující příkaz:
# nsradmin -p nsrexec -C -y "NSR peer information"
Varování: Tato operace může ohrozit zabezpečení serveru NetWorker. Pokud by mohl být v síti serveru nainstalován škodlivý hostitel se stejným názvem a IP adresou již existujícího klienta, může vymazání zdroje NSR peer informací pro hostitele na serveru chybně odstranit legitimní záznam, a dovolit tak škodlivému klientovi nahradit legitimní certifikát vlastním certifikátem, což mu umožní vydávat se za legitimního klienta. Aby k tomu mohlo dojít, musel by být legitimní klient vypnut, zatímco škodlivý klient by se již vyskytoval v síti serveru. Před provedením tohoto postupu by měl být zákazník o tomto riziku informován.
Příklad výstupu:
# nsradmin -p nsrexec -C "NSR peer information"
Validate "NSR peer information" resources
Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.
Peer 1 of 2
Hostname: mars.emc.com
Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329
* The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.
Matching certificates: No
Peer 2 of 2
Hostname: jupiter.emc.com
Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329
Matching certificates: Yes
Summary:
NSR peer information resources checked: 2
RAP connect errors: 0
RAP query errors: 0
Resource mismatches: 1
Resources corrected: 0
Peers with mismatched certificates/instance IDs: mars.emc.com
Total errors: 1
Ďalšie informácie
NetWorker: Princip ověřování zdrojů pomocí nsradmin -C
Možnosti nsradmin -C a -y byly představeny v následujících verzích NetWorker:
EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4
| Příkaz | Dostupnost |
|---|---|
| nsradmin -C "type: NSR client" | 8.2.1, 8.2.0.3, 8.1.2, 8.0.4.2 a novější |
| nsradmin -p nsrexecd -C "type: NSR peer information" | 8.2.1, 8.2.0.3, 8.1.2, 8.0.4.2 a novější |
| nsradmin -C "type: NSR usergroup" | 8.2.1, 8.2.0.4, 8.1.2.2, 8.0.4.4 a novější |
| nsradmin -C "type: NSR storage node" | 8.2.2 a novější |
| automatická oprava pomocí přepínače -y | 8.2.1.2, 8.1.3, 8.0.4.4 a novější |
| Vizuální režim v systému Windows | 8.2.2, 9.1 a novější |