Avamar:Data Domain Integration:SSH暗号スイートの互換性
Summary: AvamarとData Domainの統合: SSH暗号スイートの互換性の問題は、Data DomainがサポートするSSHサーバー暗号スイートを変更することで発生する可能性があります。
Symptoms
暗号スイートは、Data Domain(DDまたはDDR)で変更またはアップグレードされます。Avamarは、パスワードレス認証を使用してData Domainにログインできなくなりました。
Avamarは、セッション セキュリティ機能が有効になっている場合に証明書を交換するために、Data Domainの公開キーを使用してData Domainにログインします。
DDRキーは、Avamar Webユーザー インターフェイス(AUI)およびJava UIでData Domainを更新するためにも使用されます。
Data Domain SSH暗号スイートとhmacを変更する方法について説明した記事があります。DDOSでSSHサーバーでサポートされている暗号とハッシュ アルゴリズムを調整する方法
症状によっては、Avamar UIに次のエラーが表示されることがあります。
Failed to import host or ca automatically
これにより、SSH接続を介したAvamarとData Domain間の証明書の交換が妨げられます。
Cause
次の記事の内容:「DDOSでSSHサーバーでサポートされている暗号とハッシュ アルゴリズムを調整する方法 (現象」セクション):
暗号スイートがDD SSHサーバーで変更された場合:
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
この変更により、AvamarからData DomainへのDDR公開キーを使用したSSH機能が中断されます。
これは、Avamar SSHクライアントがData Domain SSHサーバーと暗号スイートを共有しなくなったためです。
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.comResolution
SSH暗号スイートがData Domainでアップデートされたら、Avamar SSHクライアント側の暗号スイートを次のものと一致するようにアップデートする必要があります。
1.現在のAvamar SSHクライアント暗号スイートを一覧表示します。
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2.編集 ssh_config :
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
3.新しい暗号を含めるには、暗号のリストを含むファイルの最後の行を変更します chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
4.ファイルの最後の行を編集すると、次のようになります。
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
5.公開キー認証でData DomainにログインするDDR公開キーを使用して、SSH暗号スイートの互換性をテストします。
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**