NetWorker: come cancellare automaticamente le mancate corrispondenze delle risorse "NSR peer information" mediante nsradmin -C

Le risorse di tipo "NSR peer information" contengono le chiavi pubbliche per gli host remoti utilizzati durante l'autenticazione di RPCSEC_GSS (nsrauth). Quando queste risorse non sono aggiornate, ad esempio quando un client rigenera le chiavi nsrauth eliminando la propria directory /nsr, l'autenticazione di GSS non riesce e viene riportato un messaggio simile a quello presente nel registro del daemon del server:

saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Per elencare il numero di risorse "NSR peer information" non corrispondenti, eseguire il seguente comando nel server NetWorker:

# nsradmin -p nsrexec -C  "NSR peer information"

Per tentare di correggere le mancate corrispondenze delle risorse "NSR peer information", eseguire il seguente comando nel server NetWorker:

# nsradmin -p nsrexec -C -y "NSR peer information"

Avviso: questa operazione può compromettere la sicurezza di un server NetWorker. In caso di installazione di un host dannoso sulla rete del server con lo stesso nome e l'indirizzo IP di un client esistente, la cancellazione della risorsa "NSR peer information" per l'host sul server può erroneamente eliminare quella legittima, consentendo al client dannoso di sostituire il certificato legittimo con il proprio certificato e rappresentare quindi il client legittimo. Affinché ciò avvenga, il client legittimo deve essere spento mentre il client dannoso è presente sulla rete del server. Il cliente deve essere consapevole di questo rischio prima di eseguire la procedura.
 

Esempio di output:

# nsradmin -p nsrexec -C "NSR peer information"

Validate "NSR peer information" resources

Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.

Peer 1 of 2

 Hostname: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.

 Matching certificates: No

Peer 2 of 2

 Hostname: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matching certificates: Sì

Riepilogo:

NSR peer information resources checked:       2

        RAP connect errors:                   0

        RAP query errors:                     0

        Resource mismatches:                  1

        Resources corrected:                  0

Peers with mismatched certificates/instance IDs: mars.emc.com

Total errors:                                 1

NetWorker:  come utilizzare la convalida delle risorse nsradmin -C

Le opzioni nsradmin -C e -y sono state introdotte nelle seguenti versioni di NetWorker:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4