Použití protokolu SSH pro přihlášení ke vzdálenému systému Data Domain bez zadání hesla

SSH je síťový protokol, který umožňuje výměnu dat pomocí zabezpečeného kanálu mezi dvěma síťovými zařízeními. Protokol SSH byl navržen jako náhrada za protokol Telnet, který nebyl schopen chránit data před útoky typu „Man-in-the-Middle“. Šifrování používané protokolem SSH zajišťuje důvěrnost a integritu dat v nezabezpečené síti, například na internetu.

Kvůli pohodlí, snadné správě a integraci do jiných produktů (například DELL EMC DPA) může být nutné k systému DD přistupovat programově, aniž by správce musel pokaždé zadat heslo anebo ukládal nezabezpečené heslo do nějakého textového souboru. Zde přichází na řadu ověřování pomocí klíče SSH.

Požadavky na protokol SSH

• Počítač s nainstalovaným klientem SSH (například OpenSSH nebo PuTTY)
• Připojení k síti IP pomocí portu TCP 22
• Povolený server SSH, který naslouchá na portu TCP 22 (jedná se o výchozí nastavení pro systém Data Domain)
• Otestujte, zda se lze na začátku připojit ke vzdálenému systému DD přes protokol SSH pomocí uživatelského jména a hesla:

1. Spusťte klientský software SSH na vzdáleném systému.
2. Nakonfigurujte klienta SSH pro připojení pomocí názvu hostitele systému Data Domain nebo IP adresy.
   • Pokud používáte rozhraní PuTTY, ponechte výchozí port (22) a klikněte na možnost: „Open“.
   • Pokud se připojujete poprvé, zobrazí se zpráva podobná této:

     Klíč hostitele serveru se neuloží v mezipaměti registru. Nemáte žádnou záruku, že server je počítač, za který se vydává. Otisk klíče rsa2 serveru je: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a. Pokud tomuto hostiteli důvěřujete, kliknutím na Yes přidejte klíč do mezipaměti výstupu a pokračujte v připojení. Pokud chcete pokračovat v připojování pouze jednou, aniž byste přidali klíč do mezipaměti, klikněte na No. Pokud tomuto hostiteli nedůvěřujete, kliknutím na tlačítko Cancel připojení ukončete.

     Klikněte na tlačítko Yes.
3. Přihlaste se k systému. Pokud se připojujete k systému Data Domain poprvé a heslo uživatele „sysadmin“ nebylo změněno:
   • Uživatelské jméno je: sysadmin
   • Heslo je sériové číslo 180583 systému

Konfigurace systému pro přihlášení bez použití hesla: V systémech Linux nebo UNIX

1. Vygenerujte klíč SSH.
   #### Doporučený typ klíče je „rsa“, který jako jediný funguje se systémem DDOS 6.0 a novějšími

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Klíče typu „dsa“ budou fungovat také v systému DDOS 5.7 nebo starším, tento typ klíče se však již nedoporučuje

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   V referenci příkazů DDOS je uvedeno, že se má použít možnost „ d“ namísto „-t dsa.“ Obě budou v systému DDOS fungovat, ale možnost „ d“ nefunguje na mnoha distribucích systému Linux.

   Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo k systému Data Domain při spouštění skriptů.

   Poznamenejte si umístění nového klíče SSH ve výstupu příkazu „ssh-keygen“. Je uložen v adresáři $HOME uživatele s příponou .ssh/ jako soubor s názvem id_rsa.pub.

2. Přidejte vygenerovaný klíč do seznamu přístupu k systémům Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Otestujte funkčnost.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Zařízení můžete také předat celý skript systémových příkazů v souboru. To lze provést spuštěním příkazu, který odkazuje na konkrétní soubor se seznamem příkazů:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

To umožňuje operátorovi vytvořit seznam příkazů na vzdáleném hostiteli a poté je spustit všechny najednou přes protokol SSH.

Konfigurace systému pro přihlášení bez použití hesla: Systémy Windows (PuTTY)

1. Nainstalujte nástroje SSH PuTTY: PuTTY, PuTTYgen a Pageant v systému Windows

2. Vytvořte relaci PuTTY.

   1. Spusťte relaci PuTTY a konfigurační nástroj PuTTY.
   2. Uložte relaci s IP adresou systému Data Domain.
      1. V dialogovém okně PuTTY Configuration vyberte možnost Category > Session.
      2. Vyberte tlačítko SSH.
      3. Zadejte IP adresu systému Data Domain do pole Host Name a Saved Sessions. Například: 168.192.2.3
      4. Klikněte na tlačítko Uložit.
         

3. Zadejte uživatelské jméno pro automatické přihlášení.

   1. V dialogovém okně PuTTY Configuration vyberte možnost Category > Connection > Data.
   2. Do pole Auto-Login Username zadejte uživatelské jméno správce. Například:
      sysadmin
   3. Klikněte na tlačítko Uložit.

4. Vytvořte klíč PuTTY.

   1. Spusťte PuTTYgen, nástroj PuTTY Key Generator.
      
   2. Vygenerujte veřejné a soukromé klíče pomocí nástroje PuTTY Key Generator.
      1. Vygenerujte určitou náhodnost přesunutím kurzoru nad prázdnou oblast v poli Key.
         Veřejný klíč pro vložení do souboru OpenSSH authorized_keys se zaplní náhodnými znaky.
         Pole Key Fingerprint se vyplní referenčními hodnotami.
      2. Vytvořte identifikátor klíče, do pole Key Comment zadejte identifikační název klíče, například:
         admin_name@company.com
      3. Pole Key Passphrase a Confirm Passphrase ponechte prázdná.
         Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo k systému Data Domain při spouštění skriptů.
      4. Klikněte na možnost Save public key.
      5. Klikněte na možnost Save private key.
         Poznamenejte si cestu k uloženému souboru klíče. Příklad názvu souboru:
         DataDomain_private_key.ppk
   3. Zkopírujte náhodně vygenerovaný klíč PuTTY.
      Vyberte veškerý text v poli, veřejný klíč pro vložení do souboru OpenSSH authorized_keys.
      

5. Přidejte klíč do příkazového řádku systému Data Domain.

   1. Otevřete příkazový řádek systému Data Domain.
   2. Přidejte přístupový klíč SSH pro správu. Do příkazového řádku zadejte:

      adminaccess add ssh-keys

   3. Vložte náhodně vygenerovaný klíč z pole PuTTYgen. Pomocí myši klikněte pravým tlačítkem myši na možnost > Paste.
   4. Dokončete příkaz stisknutím kláves CTRL + D.
      

6. Připojte klíč k relaci PuTTY.

   1. V nástroji PuTTY Configuration vyberte možnost Connection > SSH > Auth.
   2. Zaškrtněte políčko Attempt authentication using Pageant.
   3. Zaškrtněte políčko Attempt keyboard-interactive auth (SSH-2)
   4. V souboru privátního klíče pro pole Authentication klikněte na tlačítko Browse.
   5. Přejděte ke klíči PuTTY vygenerovanému a uloženému v kroku 3. Například DataDomain_private_key.ppk
   6. Uložte nastavení kliknutím na tlačítko Save.
      

7. Otevřete relaci.

   1. V dialogovém okně PuTTY Configuration vyberte možnost Category > Session.
   2. Klikněte na možnost Otevřít.
      Otevře se příkazový řádek Windows. Otevře se relace PuTTY.
      Použití uživatelského jména sysadmin pro ověřování systému Data Domain OS pomocí veřejného klíče

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #