Avamar: integracja Data Domain: Zgodność z zestawem szyfrowania SSH

Résumé: Integracja Avamar i Data Domain: Zmiana zestawów szyfrowania SSH obsługiwanych przez Data Domain może spowodować problemy ze zgodnością zestawu szyfrowania SSH.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Symptômes

Zestawy szyfrowania są zmieniane lub uaktualniane w Data Domain (DD lub DDR). Avamar nie może już zalogować się do Data Domain przy użyciu uwierzytelniania bez hasła.

Avamar loguje się do Data Domain przy użyciu klucza publicznego Data Domain w celu wymiany certyfikatów, gdy funkcje bezpieczeństwa sesji są włączone.

Klucz DDR jest również używany do aktualizacji Data Domain w Avamar Web User Interface (AUI) i Java UI.

Istnieje artykuł, który wyjaśnia, jak zmienić zestawy szyfrowania SSH Data Domain i hmac: Jak dostroić obsługiwane szyfry i algorytmy haszujące dla serwera SSH w DDOS

Następujące objawy mogą powodować następujący błąd w interfejsie użytkownika Avamar:

Failed to import host or ca automatically

Zapobiega to wymianie certyfikatów między Avamar i Data Domain za pośrednictwem połączeń SSH.

Cause

Z zawartości następującego artykułu Jak dostroić obsługiwane szyfry i algorytmy haszujące dla serwera SSH w DDOS (sekcja objawów):

Zestawy szyfrowania są zmieniane na serwerze DD SSH:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Ta zmiana powoduje przerwanie połączenia SSH z kluczem publicznym DDR z Avamar do Data Domain.

Dzieje się tak, ponieważ klient Avamar SSH nie współdzieli już zestawu szyfrowania z serwerem SSH Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Résolution

Po zaktualizowaniu zestawów szyfrowania SSH w Data Domain należy zaktualizować zestawy szyfrowania po stronie klienta Avamar SSH w celu zapewnienia zgodności:

1. Wymień bieżące zestawy szyfrowania klienta SSH Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Edytuj plik ssh_config serwera NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Zmień ostatni wiersz pliku z listą szyfrów, aby uwzględnić nowe szyfry chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Po edycji ostatniego wiersza pliku powinien on wyglądać następująco:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Przetestuj zgodność zestawu szyfrowania SSH przy użyciu klucza publicznego DDR, aby zalogować się do Data Domain przy użyciu uwierzytelniania za pomocą klucza publicznego:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Produits concernés

Avamar
Propriétés de l’article
Numéro d’article: 000203343
Type d’article: Solution
Dernière modification: 13 Jan 2026
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.