Integrazione di Avamar e Data Domain: Compatibilità SSH Cipher Suite

Riepilogo: Integrazione di Avamar e Data Domain: I problemi di compatibilità di SSH Cipher Suite possono derivare dalla modifica delle suite di crittografia del server SSH supportate da Data Domain. ...

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

Le suite di crittografia vengono modificate o aggiornate in Data Domain. Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar effettua l'accesso a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare i certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'AUI e nell'interfaccia utente Java di Avamar.

È disponibile un articolo che spiega come modificare i pacchetti di crittografia SSH e gli hmac di Data Domain:
Come ottimizzare le crittografie supportate e gli algoritmi hash per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente/interfaccia utente di Avamar:
'Failed to import host or ca automatically' for the Data Domain

Ciò impedisce lo scambio di certificati tra le connessioni Avamar e Data Domain su SSH.

Causa

Dai contenuti dell'articolo della Knowledge Base nella sezione Sintomi:
000069763Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

Le suite di crittografia vengono modificate nel server DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Questa modifica interrompe la possibilità di SSH con la chiave pubblica DDR da Avamar a Data Domain.
Ciò è dovuto al fatto che il client Avamar SSH non condivide più un suite di crittografia con il server SSH di Data Domain. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Risoluzione

Una volta aggiornati i pacchetti di crittografia SSH su Data Domain, è necessario aggiornare i pacchetti di crittografia sul lato client SSH Avamar in modo che corrispondano.

Azione
Elencare le suite di crittografia del client Avamar SSH correnti 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Modificare il file ssh_config e modificare l'ultima riga del file con l'elenco delle crittografie in modo da includere le nuove crittografie. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Dopo aver modificato l'ultima riga del file, dovrebbe apparire come segue: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione a chiave pubblica. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Prodotti interessati

Avamar
Proprietà dell'articolo
Numero articolo: 000203343
Tipo di articolo: Solution
Ultima modifica: 20 ott 2025
Versione:  5
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.