NetWorker: Rensa NSR-peer-informationen automatiskt med hjälp av nsradmin-C

NSR-peer information-resurser innehåller de offentliga nycklarna för fjärrvärdar som används under RPCSEC_GSS autentisering (nsrauth). När resurserna blir inaktuella, till exempel när en klient återskapar sina nsrauth-nycklar genom att ta bort dess/NSR-katalog, Miss lyckas GSS verifieringen och ett meddelande liknande följande rapporteras i serverns daemon-logg:

saturn.emc.com nsrexecd GSS kritisk en autentiseringsbegäran från mars.emc.com nekades. Den tillhandahållna peer-NSR stämmer inte överens med den som lagrats av saturn.emc.com. För att acceptera denna förfrågan ska du ta bort "NSR peer information"-resursen med följande attribut från Saturn. EMC. com s NSRLA-databas: namn: mars.emc.com; NW-instans-ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com 

Om du vill visa antalet omatchade NSR-peer information-resurser kör du följande kommando på NetWorker-servern:

# nsradmin-p nsrexec-C "NSR peer-information"

Kör följande kommando på NetWorker-servern för att försöka korrigera NSR-resurser för peer information:

# nsradmin-p nsrexec-C-y "NSR peer-information"

Varning! Den här åtgärden kan äventyra säkerheten för en NetWorker-Server. Om en illasinnad värd kan installeras i serverns nätverk med samma namn och IP-adress för en befintlig klient, kan det felaktigt ta bort den legitima tjänsten genom att rensa NSR peer information-resursen för värden på servern, vilket gör att den skadliga klienten kan sätta tillbaka det legitima certifikatet med sitt eget certifikat, vilket gör att den kan personifiera den legitima klienten. För att detta ska ske måste den legitima klienten stängas av när den illasinnade klienten finns på serverns nätverk. Kunden ska vara medveten om den här risken innan du utför proceduren.
 

Exempel på utdata:

# nsradmin-p nsrexec-C "NSR peer-information"

Validera "NSR peer information"-resurser

Sammanfattning: För varje NSR peer information-resurs i Saturn. EMC. com-NSRLA-databasen kontrollerar du att attributen ' NW instance ID ' och ' Certificate ' matchar dem som finns i peerns NSRLA-resurs.

Peer 1 av 2

 Värdnamn: mars.emc.com

 Instans-ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329

 * Resursen "NSR peer information" för mars.emc.com i Saturn. LSS. EMC. com ' s NSRLA-databasen är för gammal. Attributet "NW instance ID" matchar inte det som lagrats i mars. EMC. com-NSRLA-resursen. Korrigera problemet genom att ta bort NSR peer information-resursen för mars.emc.com i Saturn. EMC. com s NSRLA-databas.

 Matchande certifikat: No

Peer 2 av 2

 Värdnamn: jupiter.emc.com

 Instans-ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329

 Matchande certifikat: Ja

Sammanfattning:

NSR-resurser med peer-information kontrollerad:       2

        RAP-anslutnings fel:                   0

        RAP-frågefel:                     0

        Resurs avvikelser:                  1

        Resurser som korrigerats:                  0

Peer-datorer med felaktigt matchade certifikat/instans-ID: n för mars.emc.com

Totalt antal fel:                                 1

NetWorker:  Så här använder du nsradmin-C-resurs valideringen

Nsradmin-c-och-y-alternativen introducerades i följande Networker versioner:  

EMC NetWorker 8.2.1.2
EMC Networker 8.1.3
EMC Networker 8.0.4.4