Avamar- und Data Domain-Integration: SSH Cipher Suite-Kompatibilität

Riepilogo: Avamar- und Data Domain-Integration: Kompatibilitätsprobleme mit der SSH Cipher Suite können durch die Änderung der von Data Domain unterstützten SSH-Server-Cipher Suites auftreten.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

Cipher Suites werden auf Data Domain geändert oder aktualisiert. Avamar kann sich nicht mehr mit passwortloser Authentifizierung bei Data Domain anmelden.

Avamar meldet sich mit dem öffentlichen Schlüssel von Data Domain bei Data Domain an, um Zertifikate auszutauschen, wenn Sitzungssicherheitsfunktionen aktiviert sind.

Der DDR-Schlüssel wird auch verwendet, um Data Domain in der Avamar-AUI und der Java-Benutzeroberfläche zu aktualisieren.

Es gibt einen Artikel, in dem erläutert wird, wie Sie die Data Domain SSH Cipher Suites und hmacs ändern:
Anleitung zum Tuning unterstützter Ciphers und Hashing-Algorithmen für den SSH-Server in DDOS

Symptome können zu folgendem Fehler in der Avamar AUI/UI führen:
"Failed to import host or ca automatically" for the Data Domain

Dies verhindert den Austausch von Zertifikaten zwischen Avamar und Data Domain über SSH-Verbindungen.

Causa

Aus dem Inhalt des KB-Artikels im Abschnitt "Symptome":
000069763So tunen Sie unterstützte Codierschlüssel und Hashing-Algorithmen für den SSH-Server in DDOS

Cipher Suites werden auf dem DD SSH-Server geändert: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Diese Änderung unterbricht die Möglichkeit, eine SSH-Verbindung mit dem öffentlichen DDR-Schlüssel von Avamar zu Data Domain durchzuführen.
Dies liegt daran, dass der Avamar SSH-Client keine Cipher Suite mehr mit dem Data Domain-SSH-Server teilt. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Risoluzione

Sobald die SSH-Cipher Suites auf Data Domain aktualisiert wurden, müssen die Cipher Suites auf der Avamar SSH-Clientseite entsprechend aktualisiert werden.

Aktion
Auflisten der aktuellen Avamar SSH Client Cipher Suites 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Bearbeiten Sie die ssh_config-Datei und ändern Sie die letzte Zeile der Datei mit der Liste der Codierschlüssel, um die neuen Codierschlüssel einzuschließen. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Nach dem Bearbeiten der letzten Zeile der Datei sollte dies wie folgt aussehen: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Testen Sie die SSH-Cipher Suite-Kompatibilität mithilfe des öffentlichen DDR-Schlüssels, um sich mit einer Authentifizierung mit öffentlichem Schlüssel bei Data Domain anzumelden. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Prodotti interessati

Avamar
Proprietà dell'articolo
Numero articolo: 000203343
Tipo di articolo: Solution
Ultima modifica: 20 ott 2025
Versione:  5
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.