Integrace softwaru Avamar a systému Data Domain: Kompatibilita sady SSH Cipher Suite

Summary: Integrace softwaru Avamar a systému Data Domain: Problémy s kompatibilitou sady šifer SSH mohou vzniknout v důsledku změny sad šifer serveru SSH, které podporuje systém Data Domain.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Sady šifer se v systému Data Domain mění nebo upgradují. Systém Avamar se již nemůže přihlásit k systému Data Domain pomocí ověřování bez hesla.

Systém Avamar se přihlásí do systému Data Domain pomocí veřejného klíče systému Data Domain za účelem výměny certifikátů, pokud jsou povoleny funkce zabezpečení relace.

Klíč DDR se také používá k aktualizaci systému Data Domain v uživatelském rozhraní AUI a Java softwaru Avamar.

V článku je vysvětlováno, jak změnit sady šifer Data Domain SSH a položky hmac:
Jak vyladit podporované šifry a algoritmy hashování pro server SSH vpříznacích DDOS

může způsobit následující chybu v softwaru Avamar AUI/UI:
"Failed to import host or ca automatically" pro systém Data Domain

This prevents the exchange of certificates between Avamar and Data Domain over SSH connections.

Cause

V obsahu článku databáze znalostí v části Příznaky:
000069763Jak vyladit podporované šifry a hashovací algoritmy pro server SSH v systému DDOS

Sady šifer se mění na serveru DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Tato změna přeruší možnost SSH pomocí veřejného klíče DDR z softwaru Avamar na Data Domain.
Důvodem je to, že klient Avamar SSH již nesdílí sadu šifer se serverem Data Domain SSH. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolution

Po aktualizaci sad šifer SSH v systému Data Domain je nutné aktualizovat sady šifer na straně klienta Avamar SSH, aby odpovídaly.

Akce
Seznam aktuálních sad šifer klienta Avamar SSH 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Upravte ssh_config soubor a změňte poslední řádek souboru pomocí seznamu šifer tak, aby zahrnoval nové šifry. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Modelu com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Po úpravě posledního řádku souboru by měl vypadat takto: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Otestujte kompatibilitu sady šifer SSH pomocí veřejného klíče DDR a přihlaste se k systému Data Domain s ověřováním veřejného klíče. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Affected Products

Avamar
Article Properties
Article Number: 000203343
Article Type: Solution
Last Modified: 20 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.