NetWorker: NSR peer-informatieverschillen automatisch wissen met behulp van nsradmin -C

NSR peer-informatiebronnen bevatten de openbare sleutels voor externe hosts die worden gebruikt tijdens RPCSEC_GSS-verificatie (nsrauth). Wanneer deze bronnen verouderd raken, bijvoorbeeld wanneer een client de nsrauth-sleutels opnieuw genereert door de /nsr-map ervan te verwijderen, mislukt GSS-verificatie en wordt een bericht van de volgende strekking gerapporteerd in het Daemon-logboek van de server:

saturn.emc.com nsrexecd GSS kritiek Een verificatieverzoek van mars.emc.com is geweigerd. De opgegeven 'NSR peer-informatie' komt niet overeen met de informatie die is opgeslagen door saturn.emc.com. Om deze aanvraag te accepteren, moet u de bron 'NSR peer-informatie'-bron met de volgende kenmerken verwijderen uit saturn.emc.com’s NSRLA database: naam: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Als u het aantal niet-overeenkomende NSR-peer-informatiebronnen wilt weergeven, voert u de volgende opdracht uit op de NetWorker server:

# nsradmin -p nsrexec -C  "NSR peer information"

Voer de volgende opdracht uit op de NetWorker server om te proberen de NSR peer-informatiebronproblemen op te lossen:

# nsradmin -p nsrexec -C -y "NSR peer information"

Waarschuwing: Deze bewerking kan de beveiliging van een NetWorker-server in gevaar brengen. Als een schadelijke host zou kunnen worden geïnstalleerd in het netwerk van de server met dezelfde naam en hetzelfde IP-adres van een bestaande client, kan door het verwijderen van de NSR-peer-informatiebron voor de host op de server de legitieme host abusievelijk worden verwijderd, waardoor de schadelijke client het rechtmatige certificaat kan terugplaatsen met zijn eigen certificaat, zodat de legitieme client kan worden geïmiteerd. Dit is alleen mogelijk als de legitieme client is uitgeschakeld terwijl de schadelijke client op het netwerk van de server is aangesloten. De klant dient van dit risico op de hoogte te worden gesteld voordat de procedure wordt uitgevoerd.
 

Voorbeelduitvoer:

# nsradmin -p nsrexec -C "NSR peer information"

De "NSR peer-informatie"-bronnen valideren

Samenvatting: Controleer voor elke NSR-peer-informatiebron in saturn.emc.com’s NSRLA-database of de 'NW instance ID'- en 'certificate'-kenmerken overeenkomen met de kenmerken in de NSRLA-bron van de peer.

Peer 1 van 2

 Hostnaam: mars.emc.com

 Instance-ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * De "NSR-peerinformatie"-bron voor mars.emc.com in saturn.lss.emc.com’s NSRLA database is verouderd. Het kenmerk 'NW instance ID' komt niet overeen met het kenmerk dat is opgeslagen in mars.emc.com’s NSRLA-bron. U kunt dit probleem oplossen door de NSR peer-informatiebron voor mars.emc.com in saturn.emc.com’s NSRLA-database te verwijderen.

 Overeenkomende certificaten: Nee

Peer 2 van 2

 Hostnaam: jupiter.emc.com

 Instance-ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Overeenkomende certificaten: Ja

Samenvatting:

NSR peerinformatiebronnen gecontroleerd:       2

        Fouten in de RAP-verbinding:                   0

        Fouten in de RAP-query:                     0

        Bronverschillen:                  1

        Bronnen gecorrigeerd:                  0

Peers met niet-overeenkomende certificaten/instance-ID's: mars.emc.com

Totaal aantal fouten:                                 1

NetWorker:  Nsradmin -C-bron validatie gebruiken

De nsradmin -C- en -y-opties zijn in de volgende NetWorker-versies geïntroduceerd:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4