Integração do Avamar e do Data Domain: Compatibilidade do Conjunto de codificações SSH

Summary: Integração do Avamar e do Data Domain: Podem surgir problemas de compatibilidade do Conjunto de codificações SSH ao alterar os conjuntos de codificações do servidor SSH compatíveis com o Data Domain. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Os conjuntos de codificações são alterados ou atualizados no Data Domain. O Avamar não consegue mais fazer log-in no Data Domain usando a autenticação sem senha.

O Avamar faz log-in no Data Domain usando a chave pública do Data Domain para trocar certificados quando os recursos de segurança da sessão estão ativados.

A chave DDR também é usada para atualizar o Data Domain na AUI do Avamar e na interface do usuário do Java.

Há um artigo que explica como alterar os conjuntos de codificações e hmacs SSH do Data Domain:
Como ajustar codificações compatíveis e algoritmos de hash para o servidor SSH no DDOS

Sintomas podem resultar no seguinte erro na interface do usuário/interface do usuário do Avamar:
"Failed to import host or ca automatically" para o Data Domain

Isso impede a troca de certificados entre o Avamar e o Data Domain em conexões SSH.

Cause

A partir do conteúdo do artigo da KB na seção sintomas:
000069763Como ajustar codificações e algoritmos de hash compatíveis para o servidor SSH no DDOS

Os conjuntos de codificações são alterados no servidor DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Essa alteração rompe a capacidade de SSH com a chave pública DDR do Avamar para o Data Domain.
Isso ocorre porque o Avamar SSH Client não compartilha mais um conjunto de codificações com o servidor SSH do Data Domain. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolution

Depois que os conjuntos de codificações SSH forem atualizados no Data Domain, devemos atualizar os conjuntos de codificações no lado do client SSH do Avamar para corresponder.

Ação
Listar os conjuntos de codificações atuais do client Avamar SSH 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Edite ssh_config arquivo e altere a última linha do arquivo com a lista de cifras para incluir as novas cifras. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Depois de editar a última linha do arquivo, ela deve ser semelhante à seguinte: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Teste a compatibilidade do conjunto de codificações SSH usando a chave pública DDR para fazer log-in no Data Domain com autenticação de chave pública. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Affected Products

Avamar
Article Properties
Article Number: 000203343
Article Type: Solution
Last Modified: 20 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.