Använda SSH (SSH) för att logga in på en fjärransluten Data Domain utan att ange lösenord

SSH är ett nätverksprotokoll som gör det möjligt att utbyta data med hjälp av en säker kanal mellan två nätverksenheter. SSH utformades för att ersätta Telnet-protokollet på grund av Telnets oförmåga att skydda data mot "man in the middle"-attacker. Den kryptering som SSH använder ger konfidentialitet och dataintegritet över ett osäkert nätverk, till exempel Internet.

För enkelhetens skull och för att förenkla administrationen och integreringen med andra produkter, till exempel Data Protection Advisor (DPA), kan en Data Domain behöva nås programmatiskt utan att en administratör ger ett lösenord varje gång eller lagrar lösenordet på ett osäkert sätt i någon textfil. Det är där SSH-nyckelautentisering kommer in i bilden.

SSH-krav

• En dator med en SSH-klient installerad (t.ex. OpenSSH eller PuTTY)
• IP-nätverksanslutning med TCP-port 22
• SSH-server aktiverad och lyssnar på TCP-port 22 (detta är standard för Data Domain-systemet)
• Testa att först ansluta till fjärr-DD via SSH med hjälp av ett användarnamn och lösenord:

1. Kör SSH-klientprogramvaran på fjärrsystemet.
2. Konfigurera SSH-klienten för anslutning med hjälp av Data Domain-systemets värdnamn eller IP-adress.
   • Om du använder PuTTY lämnar du standardporten (22) och klickar på Open.
   • Om du ansluter för första gången visas ett meddelande som ser ut ungefär så här:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Klicka på Ja
      
3. Logga in i systemet. Om du ansluter till Data Domain-systemet för första gången och sysadmin Användarlösenordet har inte ändrats:
   • Användarnamnet är sysadmin
   • Lösenordet är systemets serienummer.

Konfigurera systemet att logga in utan att använda ett lösenord: På ett Linux- eller UNIX-system

1. Generera en SSH-nyckel.
   Den rekommenderade nyckeltypen är "rsa" och är den enda som fungerar med DDOS 6.0 och senare versioner:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" typnycklar fungerar även på DDOS 5.7 eller tidigare versioner. Den här nyckeltypen rekommenderas dock inte längre:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   DDOS-kommandoreferensen säger att du ska använda " d" istället för "-t dsa.” Antingen fungerar man på DDOS men " d" fungerar inte på många Linux-distributioner.

   Använd alternativet för tom lösenfras för att kringgå lösenordskravet för Data Domain när skript körs.

   Observera platsen för den nya SSH-nyckeln på "ssh-keygen" kommandoutgång. Den lagras under användarens $HOME Katalog nedan .ssh/ som en fil med namnet id_rsa.pub.

2. Lägg till den genererade nyckeln i Data Domains systemåtkomstlista:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testa funktionaliteten:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Du kan också skicka ett helt skript med systemkommandon i en fil till enheten. Detta görs genom att köra ett kommando som pekar på den specifika filen som innehåller listan med kommandon:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Detta gör det möjligt för en operatör att skapa en lista med kommandon på en fjärrvärd och sedan köra dem alla på en gång över SSH.
 

Konfigurera systemet att logga in utan att använda ett lösenord: Windows-system (PuTTY)

1. Installera SSH PuTTY-verktygen (PuTTY,PuTTYgen och Pageant) på Windows-systemet.

2. Skapa en PuTTY-session.

   1. Starta PuTTY med PuTTY-konfigurationsverktyget.
   2. Spara en session med Data Domain-systemets IP-adress.
      1. I dialogrutan PuTTY-konfiguration väljer du Kategorisession>.
      2. Välj SSH-knappen .
      3. Ange IP-adressen för Data Domain-systemet i fälten Host Name och Saved Sessions . Till exempel: 168.192.2.3
      4. Klicka på Save.
         

3. Ange användarnamn för automatisk inloggning .

   1. I dialogrutan PuTTY-konfiguration väljer du kategorin>Anslutningsdata>.
   2. Ange administratörens användarnamn i fältet Användarnamn för automatisk inloggning . Till exempel:
      sysadmin
   3. Klicka på Save.

4. Skapa en PuTTY-nyckel.

   1. Starta PuTTYgen, verktyget PuTTY Key Generator :
      
   2. Generera offentliga och privata nycklar med hjälp av verktyget PuTTY Key Generator .
      1. Generera lite slumpmässighet genom att flytta markören över det tomma området i fältet Nyckel .
         Den publika nyckeln för att klistra in i OpenSSH authorized_keys Filfyllningar med slumpmässiga tecken.
         Fältet Nyckelfingeravtryck fylls med referensvärden.
      2. Skapa en nyckelidentifierare i fältet Nyckelkommentar och skriv ett identifierande nyckelnamn, till exempel:
         admin_name@company.com
      3. Lämna fälten Nyckellösenfras och Bekräfta lösenfras tomma.
         Använd alternativet med tom lösenfras för att kringgå systemlösenordet för Data Domain när skript körs.
      4. Klicka på Spara offentlig nyckel.
      5. Klicka på Spara privat nyckel.
         Anteckna sökvägen till den sparade nyckelfilen.
         Exempel på nyckelfilnamn: DataDomain_private_key.ppk
   3. Kopiera den slumpmässigt genererade PuTTY-nyckeln.
      Markera all text i fältet Offentlig nyckel för inklistring i OpenSSH authorized_keys file.
      

5. Lägg till nyckeln i systemkommandoraden för Data Domain.

   1. Öppna en systemkommandotolk för Data Domain.
   2. Lägg till den administrativa SSH-åtkomstnyckeln.
      På kommandoraden skriver du:

      adminaccess add ssh-keys

   3. Klistra in den slumpmässigt genererade nyckeln från fältet PuTTYgen .
      Högerklicka på > alternativet Klistra in.
   4. Slutför kommandot; Tryck CTRL+D.
      

6. Bifoga nyckeln till PuTTY.

   1. I PuTTY-konfigurationsverktyget väljer du Anslutning>SSH-autentisering>.
   2. Kryssrutan Försök autentisera med hjälp av Pageant.
   3. Kryssrutan Försök med interaktiv autentisering med tangentbord (SSH-2)
   4. I fältet Privat nyckel för autentisering klickar du på Bläddra.
   5. Bläddra till PuTTY-nyckeln som genererades och sparades i steg 3. Till exempel: DataDomain_private_key.ppk
   6. Spara inställningar och klicka på Spara.
      

7. Öppna sessionen.

   1. I dialogrutan PuTTY-konfiguration väljer du Kategorisession>.
   2. Klicka på Öppna.
      En Windows-kommandorad öppnas. PuTTY-sessionen öppnas.
      Använda användarnamn sysadmin Data Domain OS Authenticating Med offentlig nyckel:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #