Verwenden von SSH (SSH) zum Anmelden bei einer Remote-Data Domain ohne Angabe eines Kennworts

SSH ist ein Netzwerkprotokoll, das den Datenaustausch über einen sicheren Kanal zwischen zwei vernetzten Geräten ermöglicht. SSH wurde entwickelt, um das Telnet-Protokoll zu ersetzen, da es nicht in der Lage ist, Daten vor "Man-in-the-Middle"-Angriffen zu schützen. Die von SSH verwendete Verschlüsselung sorgt für Vertraulichkeit und Datenintegrität über ein unsicheres Netzwerk wie das Internet.

Aus Gründen der Bequemlichkeit, der einfachen Verwaltung und der Integration in andere Produkte wie Data Protection Advisor (DPA) muss möglicherweise programmgesteuert auf eine Data Domain zugegriffen werden, ohne dass ein Administrator jedes Mal ein Kennwort eingibt oder das Kennwort unsicher in einer Textdatei speichert. Hier kommt die SSH-Schlüsselauthentifizierung ins Spiel.

SSH-Anforderungen

• Ein Computer mit installiertem SSH-Client (z. B. OpenSSH oder PuTTY)
• IP-Netzwerkverbindung über TCP-Anschluss 22
• SSH-Server ist aktiviert und überwacht TCP-Port 22 (dies ist die Standardeinstellung für das Data Domain-System)
• Testen Sie die anfängliche Verbindung mit der Remote-DD über SSH mithilfe eines Nutzernamens und eines Kennworts:

1. Führen Sie die SSH-Clientsoftware auf dem Remotesystem aus.
2. Konfigurieren Sie den SSH-Client so, dass eine Verbindung über den Hostnamen oder die IP-Adresse des Data Domain-Systems hergestellt wird.
   • Wenn Sie PuTTY verwenden, behalten Sie den Standardport (22) bei und klicken Sie auf Open.
   • Wenn Sie zum ersten Mal eine Verbindung herstellen, wird eine Meldung angezeigt, die in etwa so aussieht:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Klicken Sie auf Ja
      
3. Melden Sie sich beim System an. Wenn Sie zum ersten Mal eine Verbindung zum Data Domain-System herstellen und die sysadmin Das Nutzerkennwort wurde nicht geändert:
   • Nutzername ist sysadmin
   • Das Kennwort ist die Seriennummer des Systems.

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Auf einem Linux- oder UNIX-System

1. Erzeugen Sie einen SSH-Schlüssel.
   Der empfohlene Schlüsseltyp ist "rsa" und ist die einzige, die mit DDOS 6.0 und höheren Versionen funktioniert:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" type-Schlüssel funktionieren auch in DDOS 5.7 oder früheren Versionen. Dieser Schlüsseltyp wird jedoch nicht mehr empfohlen:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   Die DDOS-Befehlsreferenz besagt, dass Sie die Option „ d“ verwendeten sollten anstelle von „-t dsa“. Beide funktionieren unter DDOS, aber " d“ funktioniert mit vielen Linux-Distributionen nicht.

   Verwenden Sie die Option "blank passphrase", um die Data Domain-Kennwortanforderung beim Ausführen von Skripten zu umgehen.

   Notieren Sie sich den Speicherort des neuen SSH-Schlüssels in der Befehlsausgabe vonssh-keygen“. Es wird unter dem $HOME Verzeichnis unten .ssh/ als Datei mit dem Namen id_rsa.pub.

2. Fügen Sie den generierten Schlüssel zur Zugriffsliste für Data Domain-Systeme hinzu:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testfunktionalität:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Sie können auch ein ganzes Skript mit Systembefehlen in einer Datei an das Gerät übergeben. Dazu wird ein Befehl ausgeführt, der auf die bestimmte Datei verweist, die die Liste der Befehle enthält:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Auf diese Weise können Operator eine Liste von Befehlen auf einem Remotehost erstellen und sie dann alle gleichzeitig über SSH ausführen.
 

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Windows-Systeme (PuTTY)

1. Installieren Sie die SSH-PuTTY-Tools (PuTTY,PuTTYgen und Pageant) auf dem Windows-System.

2. Erstellen Sie eine PuTTY-Sitzung.

   1. Starten Sie PuTTY mit dem PuTTY-Konfigurationstool.
   2. Speichern Sie eine Sitzung mit der IP-Adresse des Data Domain-Systems.
      1. Wählen Sie im Dialogfeld der PuTTY-Konfiguration Category>Session aus.
      2. Wählen Sie die Schaltfläche SSH aus.
      3. Geben Sie die IP-Adresse des Data Domain-Systems in die Felder Hostname und Gespeicherte Sitzungen ein. Zum Beispiel: 168.192.2.3
      4. Klicken Sie auf Save.
         

3. Geben Sie den Nutzernamen für die automatische Anmeldung ein.

   1. Wählen Sie im Dialogfeld PuTTY-Konfiguration die Kategorie>Verbindungsdaten> aus.
   2. Geben Sie den Administratornutzernamen in das Feld Auto-Login username ein. Zum Beispiel:
      sysadmin
   3. Klicken Sie auf Save.

4. Erstellen Sie einen PuTTY-Schlüssel.

   1. Starten Sie PuTTYgen, das PuTTY Key Generator-Tool :
      
   2. Erzeugen Sie öffentliche und private Schlüssel mit dem PuTTY Key Generator-Tool .
      1. Erzeugen Sie eine gewisse Zufälligkeit, indem Sie den Mauszeiger über den leeren Bereich im Feld Schlüssel bewegen.
         Der öffentliche Schlüssel zum Einfügen in OpenSSH authorized_keys Dateifüllungen mit zufälligen Zeichen.
         Das Feld Schlüsselfingerabdruck wird mit Referenzwerten gefüllt.
      2. Erstellen Sie eine Schlüsselkennung im Feld Key comment und geben Sie einen identifizierenden Schlüsselnamen ein, z. B.:
         admin_name@company.com
      3. Lassen Sie die Felder Schlüssel-Passphrase und Passphrase bestätigen leer.
         Verwenden Sie die Option "blank passphrase ", um die Anforderung des Data Domain-Systemkennworts beim Ausführen von Skripten zu umgehen.
      4. Klicken Sie auf Save public key.
      5. Klicken Sie auf Save private key.
         Notieren Sie sich den Pfad zur gespeicherten Schlüsseldatei.
         Beispiel für den Schlüsseldateinamen: DataDomain_private_key.ppk
   3. Kopieren Sie den zufällig generierten PuTTY-Schlüssel.
      Wählen Sie den gesamten Text im Feld Öffentlicher Schlüssel zum Einfügen in OpenSSH aus. authorized_keys file.
      

5. Fügen Sie den Schlüssel in der Befehlszeile des Data Domain-Systems hinzu.

   1. Öffnen Sie eine Data Domain-Systemeingabeaufforderung.
   2. Fügen Sie den SSH-Administratorzugriffsschlüssel hinzu.
      Geben Sie in die Eingabeaufforderung Folgendes ein:

      adminaccess add ssh-keys

   3. Fügen Sie den zufällig generierten Schlüssel aus dem Feld PuTTYgen ein.
      Klicken Sie mit der rechten Maustaste auf > die Option Einfügen.
   4. Schließen Sie den Befehl ab. Presse CTRL+D.
      

6. Verbinden Sie den Schlüssel mit PuTTY.

   1. Wählen Sie im PuTTY-Konfigurationstool die Option Connection>SSH>Auth aus.
   2. Kontrollkästchen Attempt authentication using Pageant.
   3. Kontrollkästchen Attempt keyboard-interactive auth (SSH-2)
   4. Klicken Sie in der Private key file für das Feld authentication auf Browse.
   5. Navigieren Sie zu dem PuTTY-Schlüssel , der in Schritt 3 generiert und gespeichert wurde. Zum Beispiel: DataDomain_private_key.ppk
   6. Speichern Sie die Einstellungen und klicken Sie auf Save.
      

7. Öffnen Sie die Sitzung.

   1. Wählen Sie im Dialogfeld PuTTY-Konfiguration die Kategorie>Sitzung aus.
   2. Klicken Sie auf Open.
      Eine Windows-Befehlszeile wird geöffnet. Die PuTTY-Sitzung wird geöffnet.
      Nutzername verwenden sysadmin Data Domain OS Authenticating Mit öffentlichem Schlüssel:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #