Avamar: integrazione di Data Domain: Compatibilità con SSH Cipher Suite

Summary: Integrazione di Avamar e Data Domain: La modifica delle suite di crittografia del server SSH supportate da Data Domain può causare problemi di compatibilità con le suite di crittografia SSH. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Le suite di crittografia vengono modificate o aggiornate su Data Domain (DD o DDR). Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar accede a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'interfaccia utente web (AUI) di Avamar e nell'interfaccia utente di Java.

È disponibile un articolo che spiega come modificare gli array e le suite di crittografia SSH di Data Domain: Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente di Avamar:

Failed to import host or ca automatically

Ciò impedisce lo scambio di certificati tra Avamar e Data Domain tramite connessioni SSH.

Cause

Dal contenuto del seguente articolo Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS (sezione sintomi):

Le suite di crittografia vengono modificate sul server DD SSH:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Questa modifica interrompe la possibilità di accedere tramite SSH con la chiave pubblica DDR da Avamar a Data Domain.

Ciò è dovuto al fatto che il client SSH Avamar non condivide più una suite di crittografia con il server SSH di Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolution

Una volta aggiornate le suite di crittografia SSH su Data Domain, le suite di crittografia sul lato client SSH Avamar devono essere aggiornate in modo che corrispondano:

1. Elencare le suite di crittografia SSH Client correnti di Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Modificare la proprietà ssh_config del server NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Modificare l'ultima riga del file con l'elenco delle crittografie per includere le nuove crittografie chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Dopo aver modificato l'ultima riga del file, dovrebbe essere simile al seguente:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione con chiave pubblica:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Affected Products

Avamar
Article Properties
Article Number: 000203343
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.