Avamar: integrazione di Data Domain: Compatibilità con SSH Cipher Suite

Shrnutí: Integrazione di Avamar e Data Domain: La modifica delle suite di crittografia del server SSH supportate da Data Domain può causare problemi di compatibilità con le suite di crittografia SSH. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Příznaky

Le suite di crittografia vengono modificate o aggiornate su Data Domain (DD o DDR). Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar accede a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'interfaccia utente web (AUI) di Avamar e nell'interfaccia utente di Java.

È disponibile un articolo che spiega come modificare gli array e le suite di crittografia SSH di Data Domain: Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente di Avamar:

Failed to import host or ca automatically

Ciò impedisce lo scambio di certificati tra Avamar e Data Domain tramite connessioni SSH.

Příčina

Dal contenuto del seguente articolo Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS (sezione sintomi):

Le suite di crittografia vengono modificate sul server DD SSH:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Questa modifica interrompe la possibilità di accedere tramite SSH con la chiave pubblica DDR da Avamar a Data Domain.

Ciò è dovuto al fatto che il client SSH Avamar non condivide più una suite di crittografia con il server SSH di Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Řešení

Una volta aggiornate le suite di crittografia SSH su Data Domain, le suite di crittografia sul lato client SSH Avamar devono essere aggiornate in modo che corrispondano:

1. Elencare le suite di crittografia SSH Client correnti di Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Modificare la proprietà ssh_config del server NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Modificare l'ultima riga del file con l'elenco delle crittografie per includere le nuove crittografie chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Dopo aver modificato l'ultima riga del file, dovrebbe essere simile al seguente:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione con chiave pubblica:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Dotčené produkty

Avamar
Vlastnosti článku
Číslo článku: 000203343
Typ článku: Solution
Poslední úprava: 13 led 2026
Verze:  6
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.