Data Protection Advisor : Échec des demandes SSH Data Domain
Résumé: Toutes les demandes SSH Data Domain de Data Protection Advisor (DPA) pour un système Data Domain échouent avec l’erreur « Impossible d’échanger des clés de chiffrement ».
Symptômes
Toutes les demandes SSH Data Domain DPA pour un système Data Domain échouent avec l’erreur « Impossible d’échanger les clés de chiffrement ».
Le message d’avertissement suivant s’affiche en dpaagent.log pour l’agent utilisé pour la collecte à partir de ce système Data Domain :
WARN 14276.10356 20200103:164719 com.ssh - aapiSSHInitSession(): Error starting ssh session for host <DD_hostname_or_IP>. -5: Unable to exchange encryption keys
Cause
Résolution
Pour pouvoir communiquer avec succès à l’aide de SSH, les deux appareils doivent utiliser le même chiffrement ou le même ensemble Mac. Si un chiffrement commun ou un ensemble mac est introuvable entre les deux périphériques, la connexion SSH échoue. Le chiffrement ou l’ensemble mac doit être mis à jour sur l’un ou l’autre des appareils qui tentent de communiquer pour résoudre ce problème.
Procédez comme suit :
- Exécutez la commande ci-dessous sur le système Data Domain.
adminaccess ssh option show
Sa sortie se présente comme suit :
Option Value
--------------- -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes256-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com
--------------- -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- Pour les chiffrements de cette sortie, vérifiez s’ils contiennent l’un des chiffrements ci-dessous.
aes256-cbc, rijndael-cbc@lysator.liu.se, aes192-cbc, aes128-cbc, arcfour128, arcfour,3des-cbc
Si ce n’est pas le cas, exécutez la commande ci-dessous sur le système Data Domain :
adminaccess ssh option set ciphers 'aes256-cbc,<existing_ciphers_on_DD>'
- Pour les mac de cette sortie, vérifiez s’ils contiennent l’un des éléments ci-dessous.
hmac-sha2-256, hmac-sha2-512, hmac-sha1, hmac-sha1-96, hmac-md5, hmac-md5-96
Si ce n’est pas le cas, exécutez la commande ci-dessous sur le système Data Domain.
adminaccess ssh option set macs'hmac-sha2-256,hmac-sha2-512,<existing_macs_on_DD>'