Avamar: Integración de Data Domain: Compatibilidad con SSH Cipher Suite

Résumé: Integración de Avamar y Data Domain: Pueden surgir problemas de compatibilidad con el conjunto de cifrado SSH por el cambio de los conjuntos de cifrado del servidor SSH compatibles con Data Domain. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Symptômes

Los conjuntos de cifrado se cambian o actualizan en Data Domain (DD o DDR). Avamar ya no puede iniciar sesión en Data Domain mediante la autenticación sin contraseña.

Avamar inicia sesión en Data Domain mediante la clave pública de Data Domain para intercambiar certificados cuando se habilitan las características de seguridad de sesión.

La clave DDR también se utiliza para actualizar Data Domain en la interfaz de usuario web de Avamar (AUI) y la interfaz de usuario de Java.

Hay un artículo que explica cómo cambiar los conjuntos de cifrado SSH y hmacs de Data Domain: Cómo ajustar los algoritmos de cifrado y hash soportados para el servidor SSH en DDOS

Los síntomas pueden provocar el siguiente error en la interfaz de usuario de Avamar:

Failed to import host or ca automatically

Esto impide el intercambio de certificados entre Avamar y Data Domain a través de conexiones SSH.

Cause

Del contenido del siguiente artículo Cómo ajustar los algoritmos hash y cifrados soportados para el servidor SSH en DDOS (sección de síntomas):

Los conjuntos de cifrado se cambian en el servidor SSH de DD:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Este cambio interrumpe la capacidad de SSH con la clave pública de DDR de Avamar a Data Domain.

Esto se debe a que el cliente SSH de Avamar ya no comparte un conjunto de cifrado con el servidor SSH de Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Résolution

Una vez que los conjuntos de cifrado SSH se actualizan en Data Domain, los conjuntos de cifrado en el lado del cliente SSH de Avamar se deben actualizar para que coincidan con lo siguiente:

1. Enumere los conjuntos de cifrado actuales del cliente SSH de Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Edite el archivo ssh_config archivo:

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Cambie la última línea del archivo con la lista de cifrados para incluir los nuevos cifrados chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Después de editar la última línea del archivo, debería tener el siguiente aspecto:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Pruebe la compatibilidad del conjunto de cifrado SSH mediante la clave pública de DDR para iniciar sesión en Data Domain con autenticación de clave pública:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

Produits concernés

Avamar
Propriétés de l’article
Numéro d’article: 000203343
Type d’article: Solution
Dernière modification: 13 Jan 2026
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.