Bruke SSH (SSH) til å logge på et eksternt datadomene uten å angi et passord

SSH er en nettverksprotokoll som gjør det mulig å utveksle data ved hjelp av en sikker kanal mellom to nettverksenheter. SSH ble designet for å erstatte Telnet-protokollen på grunn av Telnets manglende evne til å beskytte data mot "mann i midten" -angrep. Krypteringen SSH bruker gir konfidensialitet og dataintegritet over et usikkert nettverk, for eksempel Internett.

For enkelhets skyld, enkel administrasjon og integrering i andre produkter, for eksempel Data Protection Advisor (DPA), kan det hende at et Data Domain må nås programmatisk uten at en administrator gir et passord hver gang eller usikkert lagrer passordet på en tekstfil. Det er her SSH-nøkkelautentisering kommer på plass.

SSH-krav

• En datamaskin med en SSH-klient installert (for eksempel OpenSSH eller PuTTY)
• IP-nettverkstilkobling ved hjelp av TCP-port 22
• SSH-server aktivert og lytting på TCP-port 22 (Dette er standard for Data Domain-systemet)
• Test for å koble til den eksterne DD via SSH ved hjelp av et brukernavn og passord:

1. Kjør SSH-klientprogramvaren på det eksterne systemet.
2. Konfigurer SSH-klienten til å koble til ved hjelp av Data Domain-systemets vertsnavn eller IP-adresse.
   • Hvis du bruker PuTTY, forlater du standardporten (22) og klikker på Åpne.
   • Hvis du kobler til for første gang, vises en melding som ser omtrent slik ut:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Klikk Ja
      
3. Logg på systemet. Hvis du kobler til Data Domain-systemet for første gang, og sysadmin Brukerpassordet er ikke endret:
   • Brukernavn er sysadmin
   • Passordet er systemets serienummer.

Konfigurere systemet til å logge på uten å bruke et passord: På et Linux- eller UNIX-system

1. Generer en SSH-nøkkel.
   Den anbefalte nøkkeltypen er "rsa" og er den eneste som fungerer med DDOS 6.0 og nyere versjoner:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" typetaster fungerer også på DDOS 5.7 eller tidligere versjoner. Denne nøkkeltypen anbefales imidlertid ikke lenger:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   DDOS-kommandoreferansen sier at du skal bruke " d" alternativ i stedet for "-t dsa." Enten man fungerer på DDOS, men " d" fungerer ikke på mange Linux-distribusjoner.

   Bruk alternativet for tom passord for å omgå kravet til passord for datadomenet når du kjører skript.

   Legg merke til plasseringen for den nye SSH-nøkkelen på "ssh-keygen" kommandoutgang. Den lagres under brukerens $HOME katalogen nedenfor .ssh/ som en fil med navnet id_rsa.pub.

2. Legg til den genererte nøkkelen i tilgangslisten til Data Domain-systemer:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testfunksjonalitet:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Du kan også sende et helt skript med systemkommandoer i en fil til enheten. Dette gjøres ved å kjøre en kommando som peker til den bestemte filen som inneholder listen over kommandoer:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Dette gjør det mulig for en operatør å lage en liste over kommandoer på en ekstern vert og deretter kjøre dem alle samtidig over SSH.
 

Konfigurere systemet til å logge på uten å bruke et passord: Windows-systemer (PuTTY)

1. Installer SSH PuTTY-verktøyene (PuTTY,PuTTYgen og Pageant) på Windows-systemet.

2. Opprett en PuTTY-økt.

   1. Start PuTTY med konfigurasjonsverktøyet PuTTY.
   2. Lagre en økt med Data Domain-systemets IP-adresse.
      1. I dialogboksen PuTTY-konfigurasjon velger du Kategoriøkt>.
      2. Velg SSH-knappen .
      3. Skriv inn Data Domain-systemets IP-adresse i feltet Vertsnavn og Lagrede økter . Eksempel: 168.192.2.3
      4. Klikk på Save (Lagre).
         

3. Skriv inn brukernavn for automatisk pålogging .

   1. I dialogboksen PuTTY-konfigurasjon velger du kategoritilkoblingsdata>>.
   2. Skriv inn administratorbrukernavnet i feltet Automatisk pålogging med brukernavn . Eksempel:
      sysadmin
   3. Klikk på Save (Lagre).

4. Opprett en PuTTY-nøkkel.

   1. Start PuTTYgen, PuTTY Key Generator verktøyet:
      
   2. Genereroffentlige og private nøkler ved hjelp av PuTTY Key Generator-verktøyet.
      1. Generer tilfeldighet ved å flytte markøren over det tomme området i nøkkelfeltet .
         Den offentlige nøkkelen for å lime inn i OpenSSH authorized_keys -filen fylles med randomiserte tegn.
         Nøkkelfeltet for fingeravtrykk fylles med referanseverdier.
      2. Opprett en nøkkelidentifikator i Nøkkelkommentar-feltet , og skriv inn et identifiserende nøkkelnavn, for eksempel:
         admin_name@company.com
      3. La feltene Passordfrase for nøkkel og Bekreft passord stå tomme.
         Bruk alternativet for en tom passfrase for å omgå systempassordet for Data Domain når du kjører skript.
      4. Klikk Lagre fellesnøkkel.
      5. Klikk Lagre privat nøkkel.
         Legg merke til banen til den lagrede nøkkelfilen.
         Eksempel på nøkkelfilnavn: DataDomain_private_key.ppk
   3. Kopier den tilfeldig genererte PuTTY-nøkkelen.
      Velg all teksten i feltet Offentlig nøkkel for å lime inn i OpenSSH authorized_keys file.
      

5. Legg til nøkkelen i kommandolinjen til Data Domain-systemet.

   1. Åpne en Data Domain-systemledetekst.
   2. Legg til den administrative SSH-tilgangsnøkkelen.
      På kommandolinjen skriver du inn:

      adminaccess add ssh-keys

   3. Lim inn den tilfeldig genererte nøkkelen fra PuTTYgen-feltet .
      Høyreklikk > på alternativet Lim inn.
   4. Fullfør kommandoen; Trykk CTRL+D.
      

6. Fest nøkkelen til PuTTY.

   1. Fra verktøyet PuTTY Configuration velger du Connection>SSH>Auth.
   2. Avmerkingsboks Forsøk på godkjenning ved hjelp av Pageant.
   3. Avmerkingsboks Forsøk på tastaturinteraktiv autorisasjon (SSH-2)
   4. I feltet Privat nøkkel for godkjenning klikker du Bla gjennom.
   5. Bla til PuTTY-tasten generert og lagret i trinn 3. Eksempel: DataDomain_private_key.ppk
   6. Lagre innstillingene, og klikk på Lagre.
      

7. Åpne økten.

   1. I dialogboksen PuTTY-konfigurasjon velger du Kategoriøkt>.
   2. Klikk på Åpne.
      En Windows-kommandolinje åpnes. PuTTY-økten åpnes.
      Bruke brukernavn sysadmin Data Domain OS Authenticating Med offentlig nøkkel:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #