NetWorker: Sådan rydder du NSR peer information, der ikke stemmer overens automatisk ved hjælp af nsradmin -C

NSR peer information-ressourcer indeholder offentlige nøgler til fjernværter, der bruges under RPCSEC_GSS-godkendelse (nsrauth). Når disse ressourcer er forældede, for eksempel når en klient regenererer sine nsrauth-nøgler ved at slette sin /nsr directory, mislykkes GSS-godkendelse, og en meddelelse svarende til følgende vil blive rapporteret i serverens dæmonlog:

saturn.emc.com nsrexecd GSS-kritisk En godkendelsesanmodning fra mars.emc.com blev afvist. Den leverede "NSR peer information" matchede ikke den, der er gemt af saturn.emc.com. Hvis du vil acceptere denne anmodning, skal du slette ressourcen "NSR peer information" med følgende attributter fra saturn.emc.coms NSRLA-database: navn: mars.emc.com; NW-instans-id: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

For at få vist antallet af uoverensstemmende NSR peer information-ressourcer skal du køre følgende kommando på NetWorker-serveren:

# nsradmin -p nsrexec -C  "NSR peer information"

For at forsøge at rette uoverensstemmende NSR peer information-ressourcer skal du køre følgende kommando på NetWorker-serveren:

# nsradmin -p nsrexec -C -y "NSR peer information"

Advarsel: Denne handling kan svække sikkerheden for en NetWorker-server. Hvis en ondsindet vært kunne installeres på serverens netværk med samme navn og IP-adresse for en eksisterende klient, kan rydning af NSR peer information-ressourcen for værten på serveren fejlagtigt slette den legitime vært og gøre det muligt for den ondsindede klient at erstatte det legitime certifikat med sit eget certifikat, hvorved den kan udgive sig for at være den legitime klient. For at dette kan ske, skal den legitime klient være slukket, mens den ondsindede klient findes på serverens netværk. Kunden skal gøres opmærksom på denne risiko, før proceduren udføres.
 

Eksempel på output:

# nsradmin -p nsrexec -C "NSR peer information"

Valider "NSR peer information"-ressourcer

Synopsis: For hver NSR-ressource NSR peer information-ressource i saturn.emc.coms NSRLA-database skal du bekræfte, at attributterne for "NW instance ID" og "certificate" svarer til dem, der er fundet i peer NSRLA-ressourcen.

Peer 1 af 2

 Værtsnavn: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * "NSR peer information"-ressourcen for mars.emc.com i saturn.lss.emc.coms NSRLA-database er forældet. "NW instance ID"-attributten stemmer ikke overens med den, der er gemt i mars.emc.coms NSRLA-ressource. Hvis du vil løse problemet, skal du slette NSR peer information-ressourcen for mars.emc.com i saturn.emc.coms NSRLA-database.

 Overensstemmende certifikater: Nej

Peer 2 af 2

 Værtsnavn: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Overensstemmende certifikater: Ja

Opsummering:

Kontrollerede NSR peer information-ressourcer:       2

        RAP-tilslutningsfejl:                   0

        RAP-forespørgselsfejl:                     0

        Uoverensstemmende ressourcer:                  1

        Korrigerede ressourcer:                  0

Peers med uoverensstemmende certifikater/instans-id'er: mars.emc.com

Fejl i alt:                                 1

NetWorker:  Sådan bruges validering af nsradmin -C-ressource

nsradmin -C og -y blev introduceret i følgende NetWorker-versioner:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4