NetWorker: Automatisches Löschen von nicht übereinstimmenden NSR-Peer-Informationen mit nsradmin -C

Die NSR-Peer-Informationsressourcen enthalten die öffentlichen Schlüssel für Remote-Hosts, die während der RPCSEC_GSS-Authentifizierung (nsrauth) verwendet werden. Wenn diese Ressourcen veraltet sind, z. B. wenn ein Client seine nsrauth-Schlüssel durch das Löschen des Verzeichnisses /nsr regeneriert, schlägt die GSS-Authentifizierung fehl und eine Meldung ähnlich der folgenden wird im Daemon-Protokoll des Servers angezeigt:

saturn.emc.com nsrexecd GSS kritisch: eine Authentifizierungsanfrage von mars.emc.com wurde verweigert. Die bereitgestellten „NSR-Peer-Informationen“ stimmten nicht mit den von saturn.emc.com gespeicherten überein. Um diese Anfrage zu akzeptieren, löschen Sie die NSR-Peer-Informationsressource mit den folgenden Attributen aus der NSRLA-Datenbank von saturn.emc.com: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Um die Anzahl der nicht übereinstimmenden NSR-Peer-Informationsressourcen aufzulisten, führen Sie den folgenden Befehl auf dem NetWorker-Server aus:

# nsradmin -p nsrexec -C  "NSR peer information"

Um zu versuchen, nicht übereinstimmende NSR-Peer-Informationsressourcen zu korrigieren, führen Sie den folgenden Befehl auf dem NetWorker-Server aus:

# nsradmin -p nsrexec -C -y "NSR peer information"

Warnung: Dieser Vorgang kann die Sicherheit eines NetWorker-Servers gefährden. Wenn ein böswilliger Host im Netzwerk des Servers mit dem gleichen Namen und der gleichen IP-Adresse eines vorhandenen Clients installiert werden könnte, kann das Löschen der NSR-Peer-Informationsressource für den Host auf dem Server fälschlicherweise die legitimen Informationen löschen, sodass der böswillige Client das legitime Zertifikat durch ein eigenes Zertifikat ersetzen kann, wodurch er die Identität des legitimen Clients annehmen kann. Das kann passieren, wenn der legitime Client ausgeschaltet ist, während der böswillige Client im Servernetzwerk vorhanden ist. Der Kunde sollte vor der Durchführung des Verfahrens auf dieses Risiko hingewiesen werden.
 

Beispiel Ausgabe:

# nsradmin -p nsrexec -C "NSR peer information"

Validieren von „NSR-Peer-Informationen“-Ressourcen

Zusammenfassung: Überprüfen Sie für jede NSR-Peer-Informationsressource in der NSRLA-Datenbank von saturn.emc.com, ob die Attribute „NW instance ID“ und „certificate“ mit denjenigen übereinstimmen, die in der NSRLA-Ressource des Peer vorhanden sind.

Peer 1 von 2

 Hostname: mars.emc.com

 Instanz-ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * Die Ressource „NSR-Peer-Informationen“ für mars.emc.com in der NSRLA-Datenbank von saturn.lss.emc ist veraltet. Das Attribut „NW instance ID“ stimmt nicht mit der in der NSRLA-Ressource von mars.emc.com gespeicherten überein. Um das Problem zu beheben, löschen Sie die Ressource „NSR-Peer-Informationen“ für mars.emc.com aus der NSRLA-Datenbank von saturn.emc.com.

 Übereinstimmende Zertifikate: Nein

Peer 2 von 2

 Hostname: jupiter.emc.com

 Instanz-ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Übereinstimmende Zertifikate: Ja

Zusammenfassung:

NSR-Peer-Informationsressourcen geprüft:       2

        RAP-Verbindungsfehler:                   0

        RAP-Abfragefehler:                     0

        Nicht übereinstimmende Ressourcen:                  1

        Korrigierte Ressourcen:                  0

Peers mit nicht übereinstimmenden Zertifikaten/Instanz-IDs: mars.emc.com

Fehler gesamt:                                 1

NetWorker:  Verwendung von „nsradmin -C“ zur Ressourcenvalidierung

Die Optionen „nsradmin -C“ und „-y“ wurden in den folgenden NetWorker-Versionen eingeführt:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4