Інтеграція Avamar та домену даних: Сумісність з SSH Cipher Suite

Summary: Інтеграція Avamar та домену даних: Проблеми сумісності SSH Cipher Suite можуть виникнути через зміну наборів шифрів сервера SSH, які підтримує Data Domain.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Набори шифрів змінюються або оновлюються в домені даних. Avamar більше не може увійти в домен даних за допомогою автентифікації без пароля.

Avamar входить в Data Domain за допомогою відкритого ключа Data Domain, щоб обмінюватися сертифікатами, коли включені функції безпеки сеансу.

Ключ DDR також використовується для оновлення домену даних в інтерфейсі Avamar AUI та Java.

Існує стаття, яка пояснює, як змінити набори шифрів SSH для домену даних та hmacs:Як налаштувати підтримувані шифри та алгоритми хешування для сервера SSH у DDOS

Симптоми можуть призвести до наступної помилки в Avamar AUI/UI:

"Не вдалося автоматично імпортувати хост або ca" для домену

даних Це запобігає обміну сертифікатами між Avamar та Data Domain через з'єднання SSH.

Cause

Зі змісту KB Стаття в розділі симптоми:
000069763Як налаштувати підтримувані шифри та алгоритми хешування для SSH сервера в DDOS

Набори шифрів змінюються на DD SSH Server: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Ця зміна порушує можливість SSH за допомогою відкритого ключа DDR від Avamar до Data Domain.
Це пов'язано з тим, що клієнт Avamar SSH більше не поділяє набір шифрів із сервером SSH домену даних. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolution

Після оновлення наборів шифрів SSH на Data Domain ми повинні оновити набори шифрів на стороні клієнта Avamar SSH, щоб вони відповідали.

Дія
Перелічіть поточні набори шифрів клієнта Avamar SSH 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Відредагуйте файл ssh_config і змініть останній рядок файлу зі списком шифрів, щоб включити нові шифри. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh..com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Після редагування останнього рядка файлу вона повинна виглядати наступним чином: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Перевірте сумісність набору шифрів SSH за допомогою відкритого ключа DDR для входу в Data Domain з аутентифікацією відкритого ключа. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Affected Products

Avamar
Article Properties
Article Number: 000203343
Article Type: Solution
Last Modified: 20 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.