Avamar: integrazione di Data Domain: Compatibilità con SSH Cipher Suite

Resumen: Integrazione di Avamar e Data Domain: La modifica delle suite di crittografia del server SSH supportate da Data Domain può causare problemi di compatibilità con le suite di crittografia SSH. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

Le suite di crittografia vengono modificate o aggiornate su Data Domain (DD o DDR). Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar accede a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'interfaccia utente web (AUI) di Avamar e nell'interfaccia utente di Java.

È disponibile un articolo che spiega come modificare gli array e le suite di crittografia SSH di Data Domain: Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente di Avamar:

Failed to import host or ca automatically

Ciò impedisce lo scambio di certificati tra Avamar e Data Domain tramite connessioni SSH.

Causa

Dal contenuto del seguente articolo Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS (sezione sintomi):

Le suite di crittografia vengono modificate sul server DD SSH:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Questa modifica interrompe la possibilità di accedere tramite SSH con la chiave pubblica DDR da Avamar a Data Domain.

Ciò è dovuto al fatto che il client SSH Avamar non condivide più una suite di crittografia con il server SSH di Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Resolución

Una volta aggiornate le suite di crittografia SSH su Data Domain, le suite di crittografia sul lato client SSH Avamar devono essere aggiornate in modo che corrispondano:

1. Elencare le suite di crittografia SSH Client correnti di Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Modificare la proprietà ssh_config del server NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Modificare l'ultima riga del file con l'elenco delle crittografie per includere le nuove crittografie chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Dopo aver modificato l'ultima riga del file, dovrebbe essere simile al seguente:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione con chiave pubblica:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Productos afectados

Avamar
Propiedades del artículo
Número del artículo: 000203343
Tipo de artículo: Solution
Última modificación: 13 ene 2026
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.