Intégration d’Avamar et de Data Domain: Compatibilité de SSH Cipher Suite

Resumen: Intégration d’Avamar et de Data Domain: Les problèmes de compatibilité de SSH Cipher Suite peuvent provenir de la modification des suites de chiffrement de serveur SSH prises en charge par Data Domain. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

Les suites de chiffrement sont modifiées ou mises à niveau sur Data Domain. Avamar n’est plus en mesure de se connecter au système Data Domain à l’aide d’une authentification sans mot de passe.

Avamar se connecte à Data Domain à l’aide de la clé publique data domain afin d’échanger des certificats lorsque les fonctions de sécurité de session sont activées.

La clé DDR est également utilisée pour mettre à jour Data Domain dans l’interface utilisateur d’Avamar AUI et Java.

Il existe un article qui explique comment modifier les suites de chiffrement et les hmacs Data Domain SSH:
Comment régler les algorithmes de chiffrement et de hachage pris en charge pour le serveur SSH dans DDOS

Symptômes peuvent entraîner l’erreur suivante dans l’interface utilisateur/AUI Avamar: 'Failed to import host or ca automatically' for the Data Domain

Cela empêche l’échange de certificats entre Avamar et Data Domain via des connexions SSH.

Causa

Dans le contenu de l’article de la base de connaissances, dans la section symptômes:
000069763Comment régler les algorithmes de chiffrement et de hachage pris en charge pour le serveur SSH dans DDOS

Les suites de chiffrement sont modifiées sur le serveur DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Cette modification rompt la possibilité de SSH avec la clé publique DDR d’Avamar vers Data Domain.
Cela est dû au fait que le client SSH Avamar ne partage plus de suite de chiffrement avec le serveur SSH Data Domain. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolución

Une fois que les suites de chiffrement SSH sont mises à jour sur Data Domain, nous devons mettre à jour les suites de chiffrement du côté du client SSH Avamar pour qu’ils correspondent.

Action
Répertorier les suites de chiffrement avamar SSH Client actuelles 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Modifiez le fichier ssh_config et modifiez la dernière ligne du fichier avec la liste des chiffrements pour inclure les nouveaux chiffrements. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Après avoir modifié la dernière ligne du fichier, il doit ressembler à ce qui suit: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Testez la compatibilité de la suite de chiffrement SSH à l’aide de la clé publique DDR pour vous connecter à Data Domain avec l’authentification par clé publique. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Productos afectados

Avamar
Propiedades del artículo
Número del artículo: 000203343
Tipo de artículo: Solution
Última modificación: 20 oct 2025
Versión:  5
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.