6.1以降のDDMCは、DD 5.7.4.0より前のDDOS 5.7が動作しているDDを管理することはできません

ナレッジベース記事：000518510

6.1以降のDDMCは、DD 5.7.4.0より前のDDOS 5.7が動作しているDDを管理することはできません（000518510）

プライマリ製品：DDMC 6.1、Data Domain
バージョン：3
記事タイプ：方法
対象読者：レベル30 = お客様
最終発行日：2018年6月29日金曜日07:11:01（GMT）

サマリー：
DDMC 6.1は、DDOS 5.7.xリリースを実行しているDDを管理できると認定されていました。しかし、DDMC 6.1で設定されたセキュリティの要件が厳しいため、その後のテストにより、5.7.4.0より前のDDOSは管理できないことが判明しました。

参照するドキュメント：
DDMC 6.1（バージョン番号およびコード ベースをDDOS 6.1と共有）は、すべてのDDOS 5.7.xリリースで実行しているDDの管理と制御に対応できると想定されていました。 しかし、実施したテストにより、すべてのDDOS 5.7.xバージョンに対応できるわけではなく、DDMC 6.1はDDOS 5.7.3.0以前を実行しているリモートDDを管理できないという事実が後から判明しました。 DDMC 6.1では、通信に使用するサポート対象のセキュリティ アルゴリズムが変更され、TLS 1.2のみが許可されました。変更があった理由は、SSL 3とTLS 1.0（およびTLS 1.1）の両方に脆弱性が見つかったことです。この脆弱性により、攻撃者は想定よりもより容易にトラフィックをのぞき見できる可能性がありました。 DDOS 5.7.4.0は、アップグレードされたOpenSSLライブラリとコマンド ライン セットの採用により、TLS 1.2をサポートする最初の5.7.xリリースになっていました。それより前のリリースでは、SSL 3、TLS 1.0、TLS 1.1のみがサポートされていました。その結果、DDMCがDDOS 5.7.3.0以前を実行している管理対象DDと通信する場合、利用可能なセキュリティ プロトコルが存在しないことになります。したがって、DDMC 6.1にアップグレードした後は、これらの管理対象DDが「応答しない」、「転送しない」ようになったり、それ以前には存在しなかったその他のエラーを返したりする可能性があります。

注： この問題を解決する方法としては、DDOS 5.7.3.0以前の5.7.xリリースを実行し
ているDDを最新リリースのDDOS 5.7.5.6（原稿執筆時）にアップグレードする方
法が推奨されています。アップデートされたOpenSSLライブラリでTLS 1.2のサポー
トが可能になるだけではなく、最新バージョンでは、DDOS 5.7.3.0以前のバグが
多く修正されています。したがって、最新リリースのコードで多くのバグが修正されて
いるため、アップグレードは単なる解決策ではなく、DDであらゆるバグが発生する可
能性をより低くすることができます。
ただし、DDOS 5.7.xの数リリースを省略して、DDをすぐに最新リリースにアップグレ
ードすることは現実的ではなく、会社のポリシーに反している場合もあります。したが
って、ここでは、現実的に対応することも可能です。DDMCを調整して、セキュリテ
ィを以前のレベルにダウングレードすれば、以前のDDの管理を続けることができま
す。明らかに、これは推奨すべき対応ではありません。しかし、必要なときに必要に
応じて実施したり、実施を取り消したりすることは簡単です。
以下のすべてのコマンドは、DDMCのインストール環境で実行する必要がありま
す。管理対象DDでは、特別なアクションは必要ありません。この対応策では、基
本的に、5.7.3.0以前のリモートDDOSでサポートされたアルゴリズムも含めるよう
に、DDMCが受け入れるセキュリティ アルゴリズム セットを拡張します。
#### This command on the DDMC will show the current set of allowed
security algorithms
# adminaccess option show cipher-list
Adminaccess option "cipher-list" set to
"ALL:!ADH:!EXPORT56:!EXPORT40:+HIGH:!MEDIUM:!LOW:!SSLv2:!SSLv3:!DESCBC3-
SHA:+EXP@STRENGTH".
#### Use this command on the DDMC to downgrade security so that it
can still manage DDOS 5.7.3.0 or earlier
# adminaccess option set cipher-list
"ALL:!ADH:!EXPORT56:!EXPORT40:+HIGH:!MEDIUM:!LOW:!SSLv2:!DES-CBC3-
SHA:+EXP@STRENGTH"
** Modifying the cipher list will restart the http/https services.
Active http/https user sessions will be terminated.
Do you want to proceed? (yes|no) [no]: yes
Adminaccess option "cipher-list" set to
"ALL:!ADH:!EXPORT56:!EXPORT40:+HIGH:!MEDIUM:!LOW:!SSLv2:!DES-CBC3-
SHA:+EXP@STRENGTH”.
すべての管理対象DDをDDOS 5.7.4.0以降のリリースにアップグレードしたら、
DDMCで以下のコマンドを実行してデフォルト設定を適用できます。
# adminaccess option reset cipher-list
次の点にご注意ください。この変更を適用した後でも、DDMCは、DDOS
5.7.4.0以降を実行している管理対象DDに接続する場合は、最も強力なセキ
ュリティ アルゴリズムTLS v1.2を使用し、DDOS 5.7.3.0以降を使用している管
理対象DDに接続する場合は、TLS v1.1を使用することになります。したがっ
て、総体的なDDMCセキュリティへの影響は小さくなっています。
プライマリ製品： Data Domain
製品： DDMC 6.1、Data Domain