NSRピア情報リソースには、RPCSEC_GSS認証(nsrauth)中に使用されるリモート ホストの公開キーが含まれています。これらのリソースが古くなった場合(例:クライアントがその/nsrディレクトリーを削除してnsrauthキーを再生成する場合)、GSS認証が失敗し、次のようなメッセージがサーバーのデーモン ログに報告されます。
saturn.emc.com nsrexecd GSS critical An authentication request from mars.emc.com was denied. The 'NSR peer information' provided did not match the one stored by saturn.emc.com. To accept this request, delete the 'NSR peer information' resource with the following attributes from saturn.emc.com's NSRLA database: name: mars.emc.com; NW instance ID: 6fe7a9ed-00000004-d2685c01-56ba7471-00010c00-6c9ab329; peer hostname: mars.emc.com
不整合のあるNSRピア情報リソースの番号を一覧表示するには、NetWorkerサーバーで次のコマンドを実行します。
# nsradmin -p nsrexec -C "NSR peer information"
NSRピア情報リソースの不整合を修正するには、NetWorkerサーバーで次のコマンドを実行します。
# nsradmin -p nsrexec -C -y "NSR peer information"
警告: この操作により、NetWorkerサーバーのセキュリティが侵害される可能性があります。既存のクライアントと同じ名前およびIPアドレスを使用して、悪意のあるホストをサーバーのネットワークにインストールすることができた場合は、サーバー上でそのホストのNSRピア情報リソースをクリアすると、正当な証明書を誤って削除する可能性があります。これにより、悪意のあるクライアントが正当な証明書を独自の証明書に置き換えることが可能になり、正当なクライアントになりすますことができます。この問題の発生を防ぐには、悪意のあるクライアントがサーバーのネットワーク上に存在するときには正当なクライアントの電源をオフにする必要があります。この手順を実行する前に、このリスクについてお客様に伝えておく必要があります。
出力例:
# nsradmin -p nsrexec -C "NSR peer information"
Validate "NSR peer information" resources
Synopsis: For each NSR peer information resource in saturn.emc.com's NSRLA database, verify the 'NW instance ID' and 'certificate' attributes match those found in the peer's NSRLA resource.
Peer 1 of 2
Hostname: mars.emc.com
Instance ID: 7dda5dc7-00000004-e064f199-56a140c6-00010c00-6c9ab329
* The "NSR peer information" resource for mars.emc.com in saturn.lss.emc.com's NSRLA database is out of date. The "NW instance ID" attribute does not match the one stored in mars.emc.com's NSRLA resource. To correct the problem, delete the NSR peer information resource for mars.emc.com in saturn.emc.com's NSRLA database.
Matching certificates: No
Peer 2 of 2
Hostname: jupiter.emc.com
Instance ID: 3900ad0a-00000004-f05b6935-56aba1de-00010c00-b6e8a329
Matching certificates: Yes
Summary:
NSR peer information resources checked: 2
RAP connect errors: 0
RAP query errors: 0
Resource mismatches: 1
Resources corrected: 0
Peers with mismatched certificates/instance IDs: mars.emc.com
Total errors: 1
NetWorker: nsradmin -Cのリソース確認を使用する方法
nsradmin -Cオプションと-yオプションは、次のNetWorkerバージョンで導入されました。
EMC NetWorker 8.2.1.2
EMC NetWorker 8.1.3
EMC NetWorker 8.0.4.4
| コマンド | 可用性 |
|---|---|
| nsradmin -C "type: NSR client" | 8.2.1、8.2.0.3、8.1.2、8.0.4.2以降 |
| nsradmin -p nsrexecd -C "type: NSR peer information" | 8.2.1、8.2.0.3、8.1.2、8.0.4.2以降 |
| nsradmin -C "type: NSR usergroup" | 8.2.1、8.2.0.4、8.1.2.2、8.0.4.4以降 |
| nsradmin -C "type: NSR storage node" | 8.2.2以降 |
| -yを使用した自動修正 | 8.2.1.2、8.1.3、8.0.4.4以降 |
| Windowsのビジュアル モード | 8.2.2、9.1以降 |