Avamar：Data Domain 集成：SSH 密码套件兼容性

在 Data Domain（DD 或 DDR）上更改或升级密码套件。Avamar 无法再使用无密码身份验证登录到 Data Domain。

Avamar 使用 Data Domain 的公钥登录到 Data Domain，以便在启用会话安全功能时交换证书。

DDR 密钥还用于在 Avamar Web 用户界面 （AUI） 和 Java UI 中更新 Data Domain。

有一篇文章介绍了如何更改 Data Domain SSH 加密套件和 hmac：如何调整 DDOS 中 SSH 服务器支持的密码和哈希算法

症状可能会导致 Avamar UI 中出现以下错误：

Failed to import host or ca automatically

这可防止 Avamar 与 Data Domain 之间通过 SSH 连接交换证书。

来自以下文章如何为 DDOS 中的 SSH 服务器调整支持的密码和哈希算法 （症状部分）的内容：

在 DD SSH 服务器上更改密码套件：

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com 

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"

Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 

Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

此更改会中断使用 DDR 公钥从 Avamar 到 Data Domain 的 SSH 功能。

这是因为 Avamar SSH 客户端不再与 Data Domain SSH 服务器共享密码套件：

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com

Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

在 Data Domain 上更新 SSH 密码套件后，必须更新 Avamar SSH 客户端上的密码套件以匹配：

1.列出当前的 Avamar SSH 客户端密码套件：

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

2.编辑 ssh_config 文件中标识的：

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

3.使用密码列表更改文件的最后一行，以包含新密码 chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4.编辑文件的最后一行后，它应如下所示：

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

5.使用 DDR 公钥测试 SSH 密码套件兼容性，以通过公钥身份验证登录到 Data Domain：

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**