Avamar: Integração ao Data Domain: Compatibilidade do SSH Cipher Suite

Summary: Integração entre Avamar e Data Domain: Problemas de compatibilidade do SSH Cipher Suite podem surgir ao alterar os conjuntos de codificações do servidor SSH compatíveis com o Data Domain. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Os conjuntos de codificações são alterados ou atualizados no Data Domain (DD ou DDR). O Avamar não consegue mais fazer login no Data Domain usando a autenticação sem senha.

O Avamar faz login no Data Domain usando a chave pública do Data Domain para trocar certificados quando os recursos de segurança de sessão estão ativados.

A chave DDR também é usada para atualizar o Data Domain na interface do usuário da Web (AUI) do Avamar e na interface do usuário Java.

Há um artigo que explica como alterar os conjuntos de codificações SSH e os HMACs do Data Domain: Como ajustar cifras e algoritmos de hash compatíveis para o servidor SSH no DDOS

Os sintomas podem resultar no seguinte erro na interface do usuário do Avamar:

Failed to import host or ca automatically

Isso impede a troca de certificados entre o Avamar e o Data Domain por meio de conexões SSH.

Cause

Do conteúdo do seguinte artigo Como ajustar codificações e algoritmos de hash compatíveis para o servidor SSH no DDOS (seção Sintomas):

Os conjuntos de codificações são alterados no servidor SSH do DD:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Essa alteração interrompe a capacidade de SSH com a chave pública DDR do Avamar para o Data Domain.

Isso ocorre porque o Avamar SSH Client não compartilha mais um conjunto de codificações com o servidor SSH do Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolution

Depois que os conjuntos de codificações SSH forem atualizados no Data Domain, os conjuntos de codificações no lado do client SSH do Avamar deverão ser atualizados para corresponder:

1. Liste os conjuntos de codificações atuais do Avamar SSH Client:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Edite o ssh_config do servidor do NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Altere a última linha do arquivo com a lista de codificações para incluir as novas cifras chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Depois de editar a última linha do arquivo, ele deve ter a seguinte aparência:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Teste a compatibilidade do conjunto de codificações SSH usando a chave pública DDR para fazer log-in no Data Domain com autenticação de chave pública:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Affected Products

Avamar
Article Properties
Article Number: 000203343
Article Type: Solution
Last Modified: 13 كانون الثاني 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.