Integración de Avamar y Data Domain: Compatibilidad con SSH Cipher Suite

요약: Integración de Avamar y Data Domain: Es posible que surjan problemas de compatibilidad de SSH Cipher Suite a partir de la modificación de los conjuntos de cifrado del servidor SSH compatibles con Data Domain. ...

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

증상

Los conjuntos de cifrado se cambian o se actualizan en Data Domain. Avamar ya no puede iniciar sesión en Data Domain mediante la autenticación sin contraseña.

Avamar inicia sesión en Data Domain con la clave pública de Data Domain a fin de intercambiar certificados cuando se habilitan las funciones de seguridad de la sesión.

La clave DDR también se utiliza para actualizar Data Domain en la interfaz de usuario de Avamar AUI y Java.

Hay un artículo que explica cómo cambiar los conjuntos de cifrado SSH y hmacs de Data Domain:
Cómo ajustar los algoritmos de cifrado y hash compatibles para el servidor SSH en DDOS

Síntomas puede dar lugar al siguiente error en la interfaz de usuario/AUI de Avamar:
"Failed to import host or ca automatically" para Data Domain

Esto impide el intercambio de certificados entre Avamar y Data Domain a través de conexiones SSH.

원인

Del contenido del artículo de la base de conocimientos en la sección de síntomas:
000069763Cómo ajustar los algoritmos de cifrado y hash compatibles para el servidor SSH en DDOS

Los conjuntos de cifrado se cambian en el servidor SSH de DD: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Este cambio interrumpe la capacidad de SSH con la clave pública de DDR de Avamar a Data Domain.
Esto se debe a que avamar SSH Client ya no comparte un conjunto de cifrado con el servidor SSH de Data Domain. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

해결

Una vez que se actualizan los conjuntos de cifrado SSH en Data Domain, debemos actualizar los conjuntos de cifrado en el lado del cliente SSH de Avamar para que coincidan.

Acción
Enumerar los conjuntos de cifrado actuales del cliente SSH de Avamar 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Edite el archivo ssh_config y cambie la última línea del archivo con la lista de cifrados para incluir los nuevos cifrados. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Después de editar la última línea del archivo, debería verse de la siguiente manera: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Pruebe la compatibilidad del conjunto de cifrado SSH con la clave pública de DDR para iniciar sesión en Data Domain con autenticación de clave pública. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

해당 제품

Avamar
문서 속성
문서 번호: 000203343
문서 유형: Solution
마지막 수정 시간: 20 10월 2025
버전:  5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.