Avamar : Data Domain Integration : Compatibilité avec la suite de chiffrement SSH

Shrnutí: Intégration d’Avamar et de Data Domain : Des problèmes de compatibilité des suites de chiffrement SSH peuvent survenir lors de la modification des suites de chiffrement du serveur SSH prises en charge par Data Domain. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Příznaky

Les suites de chiffrement sont modifiées ou mises à niveau sur Data Domain (DD ou DDR). Avamar ne peut plus se connecter au système Data Domain à l’aide de l’authentification sans mot de passe.

Avamar se connecte au système Data Domain à l’aide de la clé publique de ce dernier afin d’échanger des certificats lorsque les fonctions de sécurité de session sont activées.

La clé DDR est également utilisée pour mettre à jour Data Domain dans l’interface utilisateur Web (AUI) Avamar et l’interface utilisateur Java.

Un article explique comment modifier les suites de chiffrement SSH et HMAC Data Domain : Réglage des algorithmes de chiffrement et de hachage pris en charge pour le serveur SSH dans DDOS

Les symptômes peuvent entraîner l’erreur suivante dans l’interface utilisateur d’Avamar :

Failed to import host or ca automatically

Cela empêche l’échange de certificats entre Avamar et Data Domain via des connexions SSH.

Příčina

À partir du contenu de l’article suivant Réglage des algorithmes de chiffrement et de hachage pris en charge pour le serveur SSH dans DDOS (section symptômes) :

Les suites de chiffrement sont modifiées sur le serveur SSH DD :

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Cette modification interrompt la possibilité de SSH avec la clé publique DDR d’Avamar vers Data Domain.

Cela est dû au fait que le client SSH Avamar ne partage plus de suite de chiffrement avec le serveur SSH Data Domain :

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Řešení

Une fois les suites de chiffrement SSH mises à jour sur Data Domain, les suites de chiffrement côté client SSH d’Avamar doivent être mises à jour pour correspondre :

1. Répertorie les suites de chiffrement actuelles du client Avamar SSH :

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Modifiez le ssh_config fichier :

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Modifiez la dernière ligne du fichier avec la liste des chiffrements pour inclure les nouveaux chiffrements chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Après avoir modifié la dernière ligne du fichier, il doit ressembler à ce qui suit :

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Testez la compatibilité de la suite de chiffrement SSH à l’aide de la clé publique DDR pour vous connecter à Data Domain avec l’authentification par clé publique :

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Dotčené produkty

Avamar
Vlastnosti článku
Číslo článku: 000203343
Typ článku: Solution
Poslední úprava: 13 led 2026
Verze:  6
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.