NSR 对等信息资源包含在 RPCSEC_GSS 验证 (nsrauth) 期间使用的远程主机的公钥。当这些资源过期时(例如,当客户端通过删除 /nsr 目录重新生成其 nsrauth 密钥时),GSS 验证将失败,并且服务器的守护程序日志中将报告类似于以下内容的消息:
saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com
要列出不匹配的 NSR 对等信息资源的数量,请在 NetWorker 服务器上运行以下命令:
# nsradmin -p nsrexec -C "NSR peer information"
要尝试纠正 NSR 对等信息资源不匹配的情况,请在 NetWorker 服务器上运行以下命令:
# nsradmin -p nsrexec -C -y "NSR peer information"
警告:此操作可能会危及 NetWorker 服务器的安全性。如果服务器网络上可能安装了与现有客户端相同名称和 IP 地址的恶意主机,则清除服务器上该主机的 NSR 对等信息资源可能会错误地删除合法的资源,使恶意客户端可以将合法证书替换为其自己的证书,从而允许它冒充合法客户端。为了实现此情况,必须在服务器的网络上存在恶意客户端时关闭合法客户端。在执行此流程之前,客户应了解此方面的风险。
示例输出:
# nsradmin -p nsrexec -C "NSR peer information"
Validate "NSR peer information" resources
Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.
Peer 1 of 2
Hostname: mars.emc.com
Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329
* The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.
Matching certificates: No
Peer 2 of 2
Hostname: jupiter.emc.com
Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329
Matching certificates: Yes
Summary:
NSR peer information resources checked: 2
RAP connect errors: 0
RAP query errors: 0
Resource mismatches: 1
Resources corrected: 0
Peers with mismatched certificates/instance IDs: mars.emc.com
Total errors: 1
NetWorker: 如何使用 nsradmin -C 资源验证
以下 NetWorker 版本中引入了 nsradmin -C 和 -y 选项:
EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4
命令 | 可用性 |
---|---|
nsradmin -C "type: NSR client" | 8.2.1、8.2.0.3、8.1.2、8.0.4.2 及更高版本 |
nsradmin -p nsrexecd -C "type: NSR peer information" | 8.2.1、8.2.0.3、8.1.2、8.0.4.2 及更高版本 |
nsradmin -C "type: NSR usergroup" | 8.2.1、8.2.0.4、8.1.2.2、8.0.4.4 及更高版本 |
nsradmin -C "type: NSR storage node" | 8.2.2 及更高版本 |
使用 -y 自动纠正 | 8.2.1.2、8.1.3、8.0.4.4 及更高版本 |
Windows 上的可视模式 | 8.2.2、9.1 及更高版本 |