Интеграция Avamar и Data Domain: Совместимость SSH Cipher Suite

Riepilogo: Интеграция Avamar и Data Domain: Проблемы совместимости SSH Cipher Suite могут возникать из-за изменения пакетов шифрования серверов SSH, поддерживаемых Data Domain.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

Пакеты шифрования в Data Domain изменены или модернизированы. Avamar больше не может войти в Систему Data Domain с помощью аутентификации без пароля.

Avamar выполняет вход в Data Domain с помощью публичного ключа Data Domain, чтобы обмен сертификатами при включении функций безопасности сессии.

Ключ DDR также используется для обновления Data Domain в Avamar AUI и пользовательском интерфейсе Java.

В этой статье объясняется, как изменить пакеты шифрования и hmacs SSH Data Domain:
Как настроить поддерживаемые шифры и алгоритмы хэширования для сервера SSH в DDOSПризнаки могут привести к следующей ошибке в Avamar AUI/UI:'Failed to import host or ca automatically' for the Data Domain

This prevents the exchange of certificates

between Avamar and Data Domain over SSH connections.

Causa

Из содержимого статьи базы знаний в разделе симптомов:
000069763Как настроить поддерживаемые шифры и хэш-алгоритмы для сервера SSH в DDOS

Пакеты шифрования изменены на сервере DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Это изменение нарушает возможность SSH с помощью открытого ключа DDR из Avamar в Data Domain.
Это потому, что клиент Avamar SSH больше не имеет доступа к пакету шифрования с сервером Data Domain SSH. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Risoluzione

После обновления пакетов шифрования SSH в Data Domain необходимо обновить пакеты шифрования на стороне клиента Avamar SSH, чтобы они совпадали.

Действий
Перечислить текущие пакеты шифрования клиента Avamar SSH 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Отредактируйте ssh_config и измените последнюю строку файла со списком Шифров, чтобы включить новые шифры. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
После редактирования последней строки файла он должен выглядеть следующим образом: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Проверьте совместимость пакета шифрования SSH с помощью открытого ключа DDR для входа в Data Domain с аутентификацией на основе общедоступного ключа. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Prodotti interessati

Avamar
Proprietà dell'articolo
Numero articolo: 000203343
Tipo di articolo: Solution
Ultima modifica: 20 ott 2025
Versione:  5
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.