Použití protokolu SSH pro přihlášení ke vzdálenému systému Data Domain bez zadání hesla

SSH je síťový protokol, který umožňuje výměnu dat pomocí zabezpečeného kanálu mezi dvěma síťovými zařízeními. SSH byl navržen tak, aby nahradil protokol Telnet, protože Telnet nebyl schopen chránit data před útoky typu "man in the middle". Šifrování, které SSH používá, zajišťuje důvěrnost a integritu dat přes nezabezpečenou síť, jako je internet.

Kvůli pohodlí, snadné správě a integraci do jiných produktů, jako je například Data Protection Advisor (DPA), může být nutné přistupovat k systému Data Domain programově, aniž by správce pokaždé zadával heslo nebo nebezpečně ukládal heslo do nějakého textového souboru. Zde přichází na řadu ověřování pomocí klíče SSH.

Požadavky na protokol SSH

• Počítač s nainstalovaným klientem SSH (například OpenSSH nebo PuTTY)
• Připojení k síti IP pomocí portu TCP 22
• Povolený server SSH, který naslouchá na portu TCP 22 (jedná se o výchozí nastavení pro systém Data Domain)
• Test počátečního připojení ke vzdálenému systému DD prostřednictvím SSH pomocí uživatelského jména a hesla:

1. Spusťte klientský software SSH na vzdáleném systému.
2. Nakonfigurujte klienta SSH pro připojení pomocí názvu hostitele systému Data Domain nebo IP adresy.
   • Pokud používáte PuTTY, ponechte výchozí port (22) a klikněte na Open.
   • Pokud se připojujete poprvé, zobrazí se zpráva podobná této:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Klikněte na tlačítko Yes.
      
3. Přihlaste se k systému. Pokud se připojujete k systému Data Domain poprvé a sysadmin Heslo uživatele nebylo změněno:
   • Uživatelské jméno je sysadmin
   • Heslo je sériové číslo systému.

Konfigurace systému pro přihlášení bez použití hesla: V systémech Linux nebo UNIX

1. Vygenerujte klíč SSH.
   Doporučený typ klíče je "rsa" a jako jediný funguje s DDOS 6.0 a novějšími verzemi:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" typové klávesy fungují také na DDOS 5.7 nebo starších verzích. Tento typ klíče se však již nedoporučuje:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   V referenci příkazů DDOS je uvedeno, že se má použít možnost „ d“ namísto „-t dsa.“ Buď jeden z nich funguje na DDOS, ale " d“ nefunguje na mnoha distribucích systému Linux.

   Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo Data Domain při spouštění skriptů.

   Poznamenejte si umístění nového klíče SSH ve výstupu příkazu „ssh-keygen“. Je uložen v uživatelově $HOME Adresář níže .ssh/ jako soubor s názvem id_rsa.pub.

2. Přidejte vytvořený klíč do seznamu přístupu k systémům Data Domain:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Funkčnost testu:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Zařízení můžete také předat celý skript systémových příkazů v souboru. To lze provést spuštěním příkazu, který odkazuje na konkrétní soubor se seznamem příkazů:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

To umožňuje operátorovi vytvořit seznam příkazů na vzdáleném hostiteli a poté je spustit všechny najednou přes protokol SSH.
 

Konfigurace systému pro přihlášení bez použití hesla: Systémy Windows (PuTTY)

1. Nainstalujte nástroje SSH PuTTY (PuTTY, PuTTYgen a Pageant) do systému Windows.

2. Vytvořte relaci PuTTY.

   1. Spusťte PuTTY pomocí konfiguračního nástroje PuTTY.
   2. Uložte relaci s IP adresou systému Data Domain.
      1. V dialogovém okně PuTTY Configuration vyberte možnost Category > Session.
      2. Vyberte tlačítko SSH.
      3. Zadejte IP adresu systému Data Domain do pole Název hostitele a do pole Uložené relace . Například: 168.192.2.3
      4. Klikněte na tlačítko Uložit.
         

3. Zadejte uživatelské jméno pro automatické přihlášení .

   1. V dialogovém okně Konfigurace výstupu vyberte Datapřipojení>kategorie>.
   2. Do pole uživatelského jména pro automatické přihlášení zadejte uživatelské jméno správce. Například:
      sysadmin
   3. Klikněte na tlačítko Uložit.

4. Vytvořte klíč PuTTY.

   1. Spusťte PuTTYgen, nástroj generátor klíčů PuTTY :
      
   2. Vygenerujte veřejné a soukromé klíče pomocí nástroje Generátor klíčů PuTTY .
      1. Vygenerujte určitou náhodnost přesunutím kurzoru nad prázdnou oblast v poli Klíč .
         Veřejný klíč pro vložení do OpenSSH authorized_keys soubor se vyplní náhodnými znaky.
         Pole Klíčový otisk se vyplní referenčními hodnotami.
      2. Vytvořte identifikátor klíče do pole Komentář ke klíči a zadejte identifikační název klíče, například:
         admin_name@company.com
      3. Pole Key Passphrase a Confirm Passphrase ponechte prázdná.
         Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo k systému Data Domain při spouštění skriptů.
      4. Klikněte na možnost Uložit veřejný klíč.
      5. Klikněte na Uložit soukromý klíč.
         Poznamenejte si cestu k uloženému souboru klíče.
         Příklad názvu souboru: DataDomain_private_key.ppk
   3. Zkopírujte náhodně vygenerovaný klíč PuTTY.
      Vyberte veškerý text v poli Veřejný klíč pro vložení do OpenSSH authorized_keys file.
      

5. Přidejte klíč do příkazového řádku systému Data Domain.

   1. Otevřete příkazový řádek systému Data Domain.
   2. Přidejte přístupový klíč SSH pro správu.
      Do příkazového řádku zadejte:

      adminaccess add ssh-keys

   3. Vložte náhodně vygenerovaný klíč z pole PuTTYgen .
      Klikněte pravým tlačítkem na > možnost Vložit.
   4. Dokončete příkaz; Stiskněte CTRL+D.
      

6. Připojte klíč k relaci PuTTY.

   1. V nástroji pro konfiguraci výstupu vyberte Připojení>>SSH Auth.
   2. Zaškrtněte políčko Attempt authentication using Pageant.
   3. Zaškrtněte políčko Attempt keyboard-interactive auth (SSH-2)
   4. V souboru privátního klíče pro ověřovací pole klikněte na tlačítko Procházet.
   5. Přejděte ke klíči PuTTY vygenerovanému a uloženému v kroku 3. Například: DataDomain_private_key.ppk
   6. Uložte nastavení kliknutím na tlačítko Save.
      

7. Otevřete relaci.

   1. V dialogovém okně Konfigurace výstupu vyberte Relace kategorie>.
   2. Klikněte na možnost Otevřít.
      Otevře se příkazový řádek systému Windows . Otevře se relace PuTTY .
      Použití uživatelského jména sysadmin Data Domain OS Authenticating S veřejným klíčem:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #