NetWorker: Postup automatického mazání neshodných NSR peer informací pomocí nsradmin -C.

Zdroje NSR peer informací obsahují veřejné klíče pro vzdálené hostitele používané při ověřování RPCSEC_GSS (nsrauth). Když tyto zdroje zastarají, například když klient znovu vygeneruje své klíče nsrauth odstraněním adresáře /nsr, ověření GSS se nezdaří a v daemon logu serveru se zobrazí zpráva podobná té následující:

saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Chcete-li zobrazit seznam neodpovídajících zdrojů NSR peer informací, spusťte na serveru NetWorker následující příkaz:

# nsradmin -p nsrexec -C "NSR peer information"

Chcete-li se pokusit opravit neodpovídající zdroje NSR peer informací, spusťte na serveru NetWorker následující příkaz:

# nsradmin -p nsrexec -C -y "NSR peer information"

Varování: Tato operace může ohrozit zabezpečení serveru NetWorker. Pokud by mohl být v síti serveru nainstalován škodlivý hostitel se stejným názvem a IP adresou již existujícího klienta, může vymazání zdroje NSR peer informací pro hostitele na serveru chybně odstranit legitimní záznam, a dovolit tak škodlivému klientovi nahradit legitimní certifikát vlastním certifikátem, což mu umožní vydávat se za legitimního klienta. Aby k tomu mohlo dojít, musel by být legitimní klient vypnut, zatímco škodlivý klient by se již vyskytoval v síti serveru. Před provedením tohoto postupu by měl být zákazník o tomto riziku informován.
 

Příklad výstupu:

# nsradmin -p nsrexec -C "NSR peer information"

Validate "NSR peer information" resources

Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.

Peer 1 of 2

 Hostname: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.

 Matching certificates: No

Peer 2 of 2

 Hostname: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matching certificates: Yes

Summary:

NSR peer information resources checked:       2

        RAP connect errors:                   0

        RAP query errors:                     0

        Resource mismatches:                  1

        Resources corrected:                  0

Peers with mismatched certificates/instance IDs: mars.emc.com

Total errors:                                 1

NetWorker:  Princip ověřování zdrojů pomocí nsradmin -C

Možnosti nsradmin -C a -y byly představeny v následujících verzích NetWorker:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4