NetWorker: automatyczne usuwanie niezgodnych informacji o elementach równorzędnych NSR przy użyciu polecenia nsradmin -C

Zasoby informacji o elementach równorzędnych NSR zawierają klucze publiczne zdalnych hostów używanych podczas uwierzytelniania RPCSEC_GSS (nsrauth). Kiedy te zasoby są nieaktualne, na przykład gdy klient generuje ponownie swoje klucze nsrauth poprzez usunięcie katalogu /nsr, uwierzytelnienie GSS zakończy się niepowodzeniem, a w dzienniku demona serwera pojawi się komunikat podobny do następującego:

saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Aby wyświetlić liczbę niezgodnych zasobów informacji o elementach równorzędnych NSR, uruchom następujące polecenie na serwerze NetWorker:

# nsradmin -p nsrexec -C  "NSR peer information"

Aby spróbować usunąć niezgodność zasobów informacji o elementach równorzędnych NSR, uruchom następujące polecenie na serwerze NetWorker:

# nsradmin -p nsrexec -C -y "NSR peer information"

Ostrzeżenie: Ta operacja może spowodować naruszenie bezpieczeństwa serwera NetWorker. Jeśli w sieci serwera może zostać zainstalowany szkodliwy host o tej samej nazwie i adresie IP co istniejący klient, usunięcie zasobu informacji o elemencie równorzędnym NSR dla hosta na serwerze może spowodować błędne usunięcie właściwego hosta, co pozwala złośliwemu klientowi zastąpić autentyczny certyfikat na własny i podszyć się pod prawdziwego klienta. Aby tak się stało, prawidłowy klient musi być wyłączony, gdy złośliwy klient występuje w sieci serwera. Przed wykonaniem procedury klient powinien zostać poinformowany o tym zagrożeniu.
 

Przykładowe dane wyjściowe:

# nsradmin -p nsrexec -C "NSR peer information"

Validate "NSR peer information" resources

Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.

Peer 1 of 2

 Hostname: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.

 Matching certificates: No

Peer 2 of 2

 Hostname: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matching certificates: Yes

Summary:

NSR peer information resources checked:       2

        RAP connect errors:                   0

        RAP query errors:                     0

        Resource mismatches:                  1

        Resources corrected:                  0

Peers with mismatched certificates/instance IDs: mars.emc.com

Total errors:                                 1

NetWorker:  Jak korzystać z weryfikacji zasobów nsradmin-C

Opcje polecenia nsradmin-c i-y zostały wprowadzone w następujących wersjach programu NetWorker:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4