SSH (SSH) gebruiken om je zonder wachtwoord aan te melden bij een extern Data Domain

SSH is een netwerkprotocol waarmee gegevens via een beveiligd kanaal kunnen worden uitgewisseld tussen twee netwerkapparaten. SSH is ontworpen om het Telnet-protocol te vervangen vanwege het onvermogen van Telnet om gegevens te beschermen tegen "man in the middle"-aanvallen. De versleuteling die SSH gebruikt zorgt voor vertrouwelijkheid en data-integriteit via een onveilig netwerk, zoals het internet.

Voor gemak, beheergemak en integratie in andere producten, zoals Data Protection Advisor (DPA), moet een Data Domain mogelijk programmatisch worden geopend zonder dat een beheerder elke keer een wachtwoord opgeeft of het wachtwoord onveilig opslaat in een tekstbestand. Dat is waar SSH-sleutelauthenticatie om de hoek komt kijken.

SSH-vereisten

• Een computer waarop een SSH-client is geïnstalleerd (zoals OpenSSH of PuTTY)
• IP-netwerkconnectiviteit via TCP-poort 22
• SSH-server ingeschakeld en luisteren op TCP-poort 22 (dit is standaard voor het Data Domain systeem)
• Test om in eerste instantie verbinding te maken met het externe DD via SSH met behulp van een gebruikersnaam en wachtwoord:

1. Voer de SSH-clientsoftware uit op het externe systeem.
2. Configureer de SSH-client om verbinding te maken met behulp van de hostnaam of het IP-adres van het Data Domain-systeem.
   • Als u PuTTY gebruikt, verlaat dan de standaardpoort (22) en klik op Open.
   • Als u voor de eerste keer verbinding maakt, verschijnt er een bericht dat er ongeveer zo uitziet:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Klik op Ja
      
3. Meld u aan bij het systeem. Als u voor het eerst verbinding maakt met het Data Domain-systeem en de sysadmin User Password has not been changed:
   • Gebruikersnaam is sysadmin
   • Het wachtwoord is het serienummer van het systeem.

Het systeem configureren om aan te melden zonder een wachtwoord te gebruiken: Op een Linux- of UNIX-systeem

1. Genereer een SSH-sleutel.
   Het aanbevolen sleuteltype is "rsa" en is de enige die werkt met DDOS 6.0 en latere versies:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" typetoetsen werken ook op DDOS 5.7 of eerdere versies. Dit sleuteltype wordt echter niet langer aanbevolen:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   De DDOS Command Reference zegt dat u de " d" optie in plaats van "-t dsa." Een van beide werkt op DDOS, maar " d" werkt niet op veel Linux-distributies.

   Gebruik de optie lege wachtwoordzin om de wachtwoordvereiste voor Data Domain te omzeilen bij het uitvoeren van scripts.

   Let op de locatie van de nieuwe SSH-toets op de "ssh-keygen" opdrachtuitvoer. Het wordt opgeslagen onder de $HOME directory hieronder .ssh/ als een bestand met de naam id_rsa.pub.

2. Voeg de gegenereerde sleutel toe aan de toegangslijst voor Data Domain-systemen:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Test functionaliteit:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

U kunt ook een volledig script met systeemopdrachten in een bestand doorgeven aan het apparaat. Dit wordt gedaan door een opdracht uit te voeren om naar het specifieke bestand te verwijzen dat de lijst met opdrachten bevat:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Hierdoor kan een operator een lijst met opdrachten maken op een externe host en deze vervolgens allemaal tegelijk uitvoeren via SSH.
 

Het systeem configureren om aan te melden zonder een wachtwoord te gebruiken: Windows-systemen (PuTTY)

1. Installeer de SSH PuTTY-tools (PuTTY,PuTTYgen en Pageant) op het Windows-systeem.

2. Maak een PuTTY-sessie.

   1. Start PuTTY met de PuTTY-configuratietool.
   2. Sla een sessie op met het IP-adres van het Data Domain-systeem.
      1. Selecteer in het dialoogvenster PuTTY-configuratie de optie Categoriesessie>.
      2. Selecteer de SSH-knop .
      3. Voer het IP-adres van het Data Domain-systeem in het veld Hostnaam en Opgeslagen sessies in. Bijvoorbeeld: 168.192.2.3
      4. Klik op Opslaan.
         

3. Voer de gebruikersnaam voor automatisch aanmelden in.

   1. Selecteer in het dialoogvenster PuTTY-configuratie de categorie>Verbindingsgegevens>.
   2. Voer de gebruikersnaam van de beheerder in het veld Gebruikersnaam voor automatisch aanmelden in. Bijvoorbeeld:
      sysadmin
   3. Klik op Opslaan.

4. Maak een PuTTY-sleutel.

   1. Start PuTTYgen, de PuTTY Key Generator tool:
      
   2. Genereer openbare en privésleutels met behulp van de PuTTY Key Generator tool.
      1. Genereer wat willekeur door de cursor over het lege gebied in het sleutelveld te bewegen.
         De publieke sleutel om in de OpenSSH te plakken authorized_keys Bestand wordt gevuld met willekeurige tekens.
         Het veld Sleutelvingerafdruk wordt gevuld met referentiewaarden.
      2. Maak een sleutel-id in het veld Sleutelopmerking en typ een identificerende sleutelnaam, bijvoorbeeld:
         admin_name@company.com
      3. Laat de velden Sleutelwachtwoordzin en Bevestig wachtwoordzin leeg.
         Gebruik de optie lege wachtwoordzin om het vereiste Data Domain-systeemwachtwoord te omzeilen bij het uitvoeren van scripts.
      4. Klik op Openbare sleutel opslaan.
      5. Klik op Privésleutel opslaan.
         Noteer het pad naar het opgeslagen sleutelbestand.
         Voorbeeld van een sleutelbestandsnaam: DataDomain_private_key.ppk
   3. Kopieer de willekeurig gegenereerde PuTTY-sleutel.
      Selecteer alle tekst in het veld Publieke sleutel om in de OpenSSH te plakken authorized_keys file.
      

5. Voeg de sleutel toe in de Data Domain systeemopdrachtregel.

   1. Open een Data Domain systeemopdrachtprompt.
   2. Voeg de SSH-toegangssleutel voor beheer toe.
      Typ in de opdrachtregel:

      adminaccess add ssh-keys

   3. Plak de willekeurig gegenereerde sleutel uit het veld PuTTYgen .
      Klik met de rechtermuisknop op > de optie Plakken.
   4. Voltooi de opdracht; Pers CTRL+D.
      

6. Bevestig de sleutel aan PuTTY.

   1. Selecteer in de PuTTY Configuration ToolConnection>SSH>Auth.
   2. Selectievakje Poging tot authenticatie met behulp van Pageant.
   3. Selectievakje Poging toetsenbord-interactieve verificatie (SSH-2)
   4. Klik in het bestand Persoonlijke sleutel voor het authenticatieveld op Browse.
   5. Blader naar de PuTTY-sleutel die is gegenereerd en opgeslagen in stap 3. Bijvoorbeeld: DataDomain_private_key.ppk
   6. Instellingen opslaan, klik op Opslaan.
      

7. Open de sessie.

   1. Selecteer in het dialoogvenster PuTTY-configuratiede optie Categoriesessie>.
   2. Klik op Openen.
      Er wordt een Windows-opdrachtregel geopend. De PuTTY-sessie wordt geopend.
      Gebruikersnaam gebruiken sysadmin Data Domain OS Authenticating Met openbare sleutel:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #