Integrazione di Avamar e Data Domain: Compatibilità SSH Cipher Suite

Zhrnutie: Integrazione di Avamar e Data Domain: I problemi di compatibilità di SSH Cipher Suite possono derivare dalla modifica delle suite di crittografia del server SSH supportate da Data Domain. ...

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

Le suite di crittografia vengono modificate o aggiornate in Data Domain. Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar effettua l'accesso a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare i certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'AUI e nell'interfaccia utente Java di Avamar.

È disponibile un articolo che spiega come modificare i pacchetti di crittografia SSH e gli hmac di Data Domain:
Come ottimizzare le crittografie supportate e gli algoritmi hash per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente/interfaccia utente di Avamar:
'Failed to import host or ca automatically' for the Data Domain

Ciò impedisce lo scambio di certificati tra le connessioni Avamar e Data Domain su SSH.

Príčina

Dai contenuti dell'articolo della Knowledge Base nella sezione Sintomi:
000069763Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

Le suite di crittografia vengono modificate nel server DD SSH: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Questa modifica interrompe la possibilità di SSH con la chiave pubblica DDR da Avamar a Data Domain.
Ciò è dovuto al fatto che il client Avamar SSH non condivide più un suite di crittografia con il server SSH di Data Domain. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Riešenie

Una volta aggiornati i pacchetti di crittografia SSH su Data Domain, è necessario aggiornare i pacchetti di crittografia sul lato client SSH Avamar in modo che corrispondano.

Azione
Elencare le suite di crittografia del client Avamar SSH correnti 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Modificare il file ssh_config e modificare l'ultima riga del file con l'elenco delle crittografie in modo da includere le nuove crittografie. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
Dopo aver modificato l'ultima riga del file, dovrebbe apparire come segue: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione a chiave pubblica. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

Dotknuté produkty

Avamar
Vlastnosti článku
Číslo článku: 000203343
Typ článku: Solution
Dátum poslednej úpravy: 13 jan 2026
Verzia:  6
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.