NetWorker: Como limpar automaticamente as disparidades de NSR peer information usando nsradmin -C

Os recursos NSR peer information contêm as chaves públicas para os hosts remotos usados durante a autenticação RPCSEC_GSS (nsrauth). Quando esses recursos ficam desatualizados, por exemplo, quando um cliente regenera a chaves nsrauth excluindo o diretório /nsr, a autenticação GSS falhará e uma mensagem semelhante à seguinte será relatada no log daemon do servidor:

saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Para listar o número de disparidades de recursos NSR peer information, execute o seguinte comando no servidor NetWorker:

# nsradmin -p nsrexec -C  "NSR peer information"

Para tentar corrigir as disparidades de recursos NSR peer information, execute o seguinte comando no servidor NetWorker:

# nsradmin -p nsrexec -C -y "NSR peer information"

Advertência: Essa operação pode comprometer a segurança de um servidor NetWorker. Se um host mal-intencionado puder ser instalado na rede do servidor com o mesmo nome e endereço IP de um client existente, a limpeza do recurso NSR peer information do host no servidor poderá excluir erroneamente o legítimo, permitir que o client mal-intencionado substitua o certificado verdadeiro pelo seu próprio certificado e, dessa forma, contribuir para que ele represente o client legítimo. Para que isso ocorra, o client legítimo precisa estar desativado enquanto o client mal-intencionado existir na rede do servidor. O cliente deve estar ciente desse risco antes de executar o procedimento.
 

Exemplo de resultado:

# nsradmin -p nsrexec -C "NSR peer information"

Validate "NSR peer information" resources

Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.

Peer 1 of 2

 Hostname: mars.emc.com

 Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.

 Matching certificates: No

Peer 2 of 2

 Hostname: jupiter.emc.com

 Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matching certificates: Yes

Summary:

NSR peer information resources checked:       2

        RAP connect errors:                   0

        RAP query errors:                     0

        Resource mismatches:                  1

        Resources corrected:                  0

Peers with mismatched certificates/instance IDs: mars.emc.com

Total errors:                                 1

NetWorker:  Como usar a validação de recursos nsradmin -C

As opções nsradmin -C e -y foram introduzidas nas seguintes versões do NetWorker:  

EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4