Data Domain: DD Boost global godkendelse og kryptering

Summary: Denne artikel indeholder oplysninger om global godkendelse og kryptering af DD Boost, som er hentet fra de seneste opdaterede oplysninger fra DD OS 7.13 boost-dokumentationen. I denne vejledning ser "PowerProtect DD-systemet", "beskyttelsessystemet" eller blot "systemet" PowerProtect DD-seriens enheder, der kører DD OS 7.4 eller nyere og tidligere PowerProtect DD-systemer. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Boost-kryptering og -godkendelse afhænger af klientkompatibilitet. Gennemse oplysningerne og tabellerne nedenfor.
Du kan angive godkendelses- og krypteringsindstillinger på tre måder, som beskrives nærmere i dette dokument.

Sådan nulstiller du den globale krypteringsstyrke og rydder fejl i Dell Data Domain.

Varighed: 00:03:32 (hh:mm:ss)
Når sprogindstillingerne for undertekster er tilgængelige, kan du vælge sprogindstillinger for undertekster ved hjælp af CC-ikonet på denne videoafspiller.

Kryptering
under flyvningKryptering under flyvning gør det muligt for programmer at kryptere backup under flyvning eller gendanne data via LAN fra beskyttelsessystemet. Denne funktion blev introduceret for at tilbyde en mere sikker datatransportfunktion.
Når den er konfigureret, kan klienten bruge TLS til at kryptere sessionen mellem klienten og beskyttelsessystemet. Den specifikke chifferpakke, der anvendes, er som følger i nedenstående tabel.

Den specifikke krypteringspakke, der bruges, er enten ADH-AES256-SHA, hvis indstillingen høj kryptering er valgt, eller ADHAES128-SHA, hvis indstillingen medium kryptering er valgt.

DD Boost Client 3.3 til 7.0 og 7.5 efter 7.5

  DDOS 7.5 og senere
    Kryptering Mellem Kryptering høj
DD Boost Client 3.3 til 7.0 og DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Klient 7.5 og senere Envejs- eller tovejscertifikater DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 til 7.0 og 7.5 Efter 7.5 (fortsat)

  DDOS 7.4 og før
    Kryptering Mellem Kryptering høj
DD Boost Client 3.3 til 7.0 og DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Klient 7.5 og senere Envejs- eller tovejscertifikater DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost-klient 7.1 til 7.4

  DDOS 7.5 og senere
DD Boost-klient 7.1 til 7.4   Kryptering Mellem Kryptering høj
ANON ADH-AES128-SHA ADH-AES256--SHA
Envejs- eller tovejscertifikater DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 til 7.4 (fortsat)

  DDOS 7.4 og før
DD Boost-klient 7.1 til 7.4   Kryptering Mellem Kryptering høj
ANON ADH-AES128- SHA ADH-AES256-- SHA
Envejs- eller tovejscertifikater DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

For DDOS 7.12 og nyere er godkendelsestilstandeningen , og krypteringsstyrken er som standard medium for nye installationer.

De globale standardindstillinger er bagudkompatible, hvilket betyder:

  •  Du behøver ikke at opdatere DD Boost-biblioteket. Alle eksisterende klienter og programmer fungerer på samme måde med standardindstillingerne for de nye indstillinger.
  • Klienter og programmer, der bruger certifikater med TLS (Transport Layer Security), kan fortsat fungere uden ændringer.

Global godkendelse og kryptering
DD Boost tilbyder globale godkendelses- og krypteringsmuligheder for at beskytte systemer mod man-in-the-middle-angreb (MITM).
De globale indstillinger sikrer, at nye klienter beskyttes, men giver dig også mulighed for at konfigurere forskellige værdier for hver klient. Derudover kan klientindstillinger kun styrke sikkerheden, ikke reducere den.
Indstilling af den globale godkendelsestilstand og krypteringsstyrke fastlægger minimumsniveauer for godkendelse og kryptering. Alle forbindelsesforsøg fra alle klienter skal opfylde eller overstige disse niveauer.

Disse målinger er som standard ikke aktiveret. Indstillingerne skal ændres manuelt.

De globale standardindstillinger er bagudkompatible, hvilket betyder:

  • Du behøver ikke at opdatere DD Boost-biblioteket.
    Alle eksisterende klienter og programmer fungerer på samme måde med standardindstillingerne for de nye indstillinger.
  • Der er ingen indvirkning på ydeevnen, fordi der ikke er tilføjet kryptering.
  • Klienter og programmer, der bruger certifikater med TLS (Transport Layer Security), kan fortsat fungere uden ændringer.
    Hvis de globale indstillinger er forskellige fra standardindstillingerne, skal eksisterende klienter muligvis opdateres.

Metoder til indstilling af godkendelse og kryptering
Du kan angive godkendelses- og krypteringsindstillinger på tre måder.

  • Forbindelsesanmodning
    Du gør dette ved hjælp af ddp_connect_with_config API i klientprogrammet.
  • Indstillinger
    pr. klient Det gør du ved hjælp af CLI-kommandoer på beskyttelsessystemet.
  • Globale indstillinger
    Det gør du ved hjælp af CLI-kommandoer på beskyttelsessystemet.

Hvis der både angives værdier pr. klient og globalt, gennemtvinges den stærkere eller højere indstilling. Enhver klient, der forsøger at oprette forbindelse med en svagere godkendelses- eller krypteringsindstilling, afvises.

Indstillinger for godkendelse og kryptering
Du kan overveje flere faktorer, når du beslutter godkendelses- og krypteringsindstillinger. Det anbefales dog, at du altid vælger den maksimale tilgængelige indstilling for maksimal sikkerhed.
Maksimal sikkerhed påvirker ydeevnen. Hvis du har et kontrolleret miljø, hvor der ikke kræves maksimal sikkerhed, kan du bruge andre indstillinger.

Globale indstillinger
Den globale indstilling bestemmer minimumsniveauerne for godkendelse og kryptering. Forsøg på at oprette forbindelse, der ikke opfylder disse kriterier, mislykkes.

Indstillinger
pr. klientHvis indstillingen defineres pr. klient, skal den indstilling, du vælger, enten matche eller være større end den maksimale godkendelsesindstilling pr. klient og den maksimale globale godkendelsesindstilling.
For eksempel:

  • Hvis en klient er konfigureret til at kræve two-way password Autentificering, og den globale godkendelsesindstilling er two-way TLSDerefter two-way TLS Der skal anvendes godkendelse.
  • Hvis klienten er konfigureret med godkendelsesindstillingen two-way TLS og den globale indstilling er two-way passwordsDerefter two-way TLS skal anvendes.

Højere-specificerede værdier
Hvis de værdier, der er angivet for opkalder, er lavere end enten de globale indstillinger eller pr. klient, er forbindelsen ikke tilladt. Men hvis de værdier, der er angivet for opkalder, er højere end de globale indstillinger eller pr. klient, oprettes forbindelsen ved hjælp af de værdier, der er angivet for opkalder.
Hvis den, der ringer op, f.eks. angiver two-way-password Men enten den globale værdi eller værdien pr. klient er two-way, mislykkes forbindelsesforsøget. Men hvis den, der ringer op, har angivet two-way og de globale værdier og værdierne pr. klient er two-way-password, two-way Der anvendes godkendelse.

Indstillinger for
godkendelse og krypteringDu kan vælge en af tre tilladte indstillinger for både globale indstillinger og godkendelses- og krypteringsindstillinger.
For indstillingerne pr. klient tillades fem godkendelsesindstillinger og tre krypteringsindstillinger (de samme krypteringsindstillinger som dem for globale).

Godkendelses- og krypteringsværdier skal indstilles samtidigt på grund af afhængigheder.

Globale godkendelses- og krypteringsmuligheder
Du har en række valgmuligheder med indstillingerne global-authentication-mode og global-encryption-strength.

Godkendelsesindstillinger
Følgende liste rangerer godkendelsesværdier fra svageste til stærkeste:

  1. none
    Ikke sikker; Dette er standardindstillingen.

  2. anonymous
    Denne indstilling er ikke sikret mod MITM-angreb.
    Data under flyvning krypteres.

  3. one-way
    Denne metode kræver brug af certifikater.
    Dette er ikke sikkert mod MITM-angreb.
    Data under flyvning krypteres.

  4. two-way-password
    Denne indstilling er sikret mod MITM-angreb.
    Data under flyvning krypteres.

  5. two-way
    Denne indstilling kræver brugeren af certifikater.
    Dette er den sikreste løsning og er sikker mod MITM-angreb.
    Data under flyvning krypteres.

Vær opmærksom på, at anonymous og one-way er kun tilladt for indstillinger pr. klient, ikke globale indstillinger.

Krypteringsindstillinger
Følgende liste rangerer krypteringsværdier fra svageste til stærkeste:

  1. none
    Ikke sikker; Dette er standardindstillingen.
    Kan kun angives, hvis godkendelsen er "ingen".

  2. medium
    Anvender AES 128 og SHA-1

  3. high
    Anvender AES 256 og SHA-1

Både medium og high anvende SHA-1 afhængigt af klientversionen og godkendelsestilstanden. Se tabellen In-flight Encryption for at få flere oplysninger.

Global godkendelse
De tre globale indstillinger for godkendelsestilstand tilbyder forskellige niveauer af beskyttelse og bagudkompatibilitet.
Globale godkendelses- og krypteringsværdier kan kun angives via CLI-kommandoer (Command Line Interface) på DD Boost-serveren. De CLI-kommandoer, du bruger til at angive disse værdier, er beskrevet i følgende afsnit.

ingen

ddboost option set global-authentication-mode none
global-encryption-strength none

Dette er den mindst sikre, men mest bagudkompatible mulighed.
Du kan vælge none hvis dit system har afgørende ydelseskrav, og du ikke har brug for beskyttelse mod MITM-angreb.
Dit system kan fungere på samme måde som før, uden at TLS forringer ydeevnen.
Hvis du vælger en anden indstilling for godkendelse end none, kan krypteringsindstillingen ikke være none.

Tovejsadgangskode

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Tovejsadgangskodemetoden udfører tovejsgodkendelse ved hjælp af TLS med forhåndsdelt nøglegodkendelse (PSK). Både klienten og beskyttelsessystemet godkendes ved hjælp af de tidligere oprettede adgangskoder. Når denne indstilling er valgt, krypteres alle data og meddelelser mellem klienten og beskyttelsessystemet.
Denne mulighed er den eneste sikre mulighed, der er tilgængelig med DD Boost til OpenStorage og beskytter fuldt ud mod man-in-the-middle-angreb (MITM).
Krypteringsstyrken skal være enten mellem eller høj.
Tovejs adgangskodegodkendelse er unik, fordi det er den eneste metode, der både er sikker mod MITM og kan udføres uden at den, der ringer op, angiver det.

Tovejs

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dette er den sikreste løsning.
Tovejsindstillingen anvender TLS med certifikater. Tovejsgodkendelse opnås ved hjælp af certifikater leveret af applikationen.
Denne indstilling er kompatibel med eksisterende brug af certifikater. Indstilling af global godkendelse til two-way Kræver, at alle programmer, der opretter forbindelse til beskyttelsessystemet, understøtter og leverer certifikater.
Ethvert program, der ikke understøtter certifikater og ikke angiver tovejsgodkendelse og leverer certifikater via ddp_connect_with_config API mislykkes.

Indstillingen for tovejsgodkendelse er ikke tilgængelig med DD Boost til OpenStorage. Hvis den globale godkendelsestilstand er indstillet til two-way, mislykkes alle OST-programmer.

Scenarier
for bagudkompatibilitetÆldre klient og nyt beskyttelsessystem
I dette tilfælde anvendes et program, der bruger et Boost-bibliotek, med DDOS 6.1 eller nyere. I dette scenarie kan klienten ikke udføre tovejsadgangskodegodkendelse, hvilket har følgende konsekvenser:

  • Alle globale godkendelsesindstillinger skal indstilles til none eller two-way da klienten ikke kan udføre two-way-password Godkendelse.
    Godkendelsesindstillinger pr. klient kan have en hvilken som helst værdi, undtagen two-way-password af samme grund.
  • Alle globale indstillinger eller individuelle klientindstillinger for tovejsadgangskode medfører, at programmer med ældre klientbiblioteker mislykkes.
  • Det nye beskyttelsessystem understøtter eksisterende forbindelsesprotokoller for gamle klienter.

Ny klient og ældre beskyttelsessystem
Det ældre beskyttelsessystem kan ikke yde two-way-password godkendelse, som har følgende konsekvenser:

  • Der er ingen globale godkendelses- eller krypteringsindstillinger.
  • Indstillingen for godkendelse af beskyttelsessystem pr. klient kan ikke two-way password.
  • Klienten vil først forsøge at bruge den nye forbindelsesprotokol eller RPC. Ved fejl vender klienten tilbage til den gamle protokol.
  • Klienten kan oprette forbindelse til andre godkendelsesmetoder undtagen two-way-password.

Eksempler på
indstillinger for godkendelse og krypteringFølgende tabeller viser eksempler, hvor indstillinger angives ved hjælp af opkald, indstillinger pr. klient og globale indstillinger, og om disse indstillinger kan lykkes.
I disse eksempler antages det, at du har en DD Boost-klientforbindelse til et beskyttelsessystem med DDOS 6.1 eller nyere. Disse eksempler gælder ikke for nogen af de situationer, der er beskrevet i scenarier med bagudkompatibilitet.

Hvis den globale indstilling eller indstillingen pr. klient kræver tovejsgodkendelse, skal den, der ringer op, angive den og levere de nødvendige certifikater.

Én indstilling

Opkaldsspecifikationer Indstillinger pr. klient Globale indstillinger Brugte værdier
Ingen Ingen Ingen SUCCEEDS-godkendelse
: ingen
Kryptering: ingen
Godkendelse: tovejsadgangskode
Kryptering: medium		 Ingen Ingen SUCCEEDS-godkendelse: tovejsadgangskode

Kryptering: medium
Ingen Godkendelse: tovejsadgangskode
Kryptering: medium		 Ingen SUCCEEDS-godkendelse: tovejsadgangskode

Kryptering: medium
Ingen Ingen Godkendelse: tovejsadgangskode Kryptering: medium SUCCEEDS-godkendelse: tovejsadgangskode

Kryptering: medium
Ingen Ingen Autentificering: tovejskryptering
: høj		 FEJLER
Tovejs og høj er påkrævet.
Klienten skal angive en tovejs og levere certifikater.
Autentificering: tovejskryptering: høj Ingen Ingen SUCCEEDS-godkendelse: tovejskryptering

: høj

Flere indstillinger

Opkaldsspecifikationer Indstillinger pr. klient Globale indstillinger Brugte værdier
Godkendelse: tovejskryptering
: medium		 Ingen Autentificering: tovejskryptering
: høj		 FEJLER Tovejs og høj er påkrævet.
Ingen Autentificering: tovejskryptering
: høj		 Godkendelse: tovejsadgangskode
Kryptering: medium		 FEJLER Tovejs og høj er påkrævet.
Klienten skal angive en tovejs og levere certifikater.
Autentificering: tovejskryptering
: høj		 Godkendelse: tovejsadgangskode
Kryptering: høj		 Godkendelse: tovejskryptering
: medium		 SUCCEEDS-godkendelse: tovejskryptering
: høj
Ingen Godkendelse: tovejsadgangskode
Kryptering: medium		 Godkendelse: tovejskryptering
: medium		 FEJLER Tovejs og medium er påkrævet.
Klienten skal angive en tovejs og levere certifikater.
Autentificering: tovejskryptering
: høj		 Godkendelse: tovejskryptering
: medium		 Godkendelse: tovejskryptering
: medium		 SUCCEEDS-godkendelse: tovejskryptering
: høj

 

Additional Information

Data Domain: Standardgodkendelsestilstanden for DDBoost-klienter giver ikke trådløs kryptering.
Data Domain – Administration af certifikater for DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 آذار 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.