Avamar 및 Data Domain 통합: SSH 암호화 제품군 호환성

摘要: Avamar 및 Data Domain 통합: SSH Cipher Suite 호환성 문제는 Data Domain이 지원하는 SSH 서버 암호화 제품군을 변경하여 발생할 수 있습니다.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

암호 제품군은 Data Domain에서 변경되거나 업그레이드됩니다. Avamar는 암호가 없는 인증을 사용하여 더 이상 Data Domain에 로그인할 수 없습니다.

Avamar는 Data Domain의 공개 키를 사용하여 Data Domain에 로그인하여 세션 보안 기능이 활성화된 경우 인증서를 교환합니다.

DDR 키는 Avamar AUI 및 Java UI에서 Data Domain을 업데이트하는 데도 사용됩니다.

Data Domain SSH 암호화 제품군 및 hmacs를 변경하는 방법을 설명하는 문서가 있습니다.
DDOS

증상에서 지원되는 암호화 및 해싱 알고리즘을 튜닝하는 방법은Data Domain

의 Avamar AUI/UI:'Failed to import host or ca automatically'에서 다음 오류가 발생할 수 있습니다. 따라서 Avamar와 Data Domain over SSH 접속 간의 인증서 교환이 방지됩니다.

原因

증상 섹션에 있는 KB 문서의 내용에서 000069763
| DDOS

에서 SSH 서버에 지원되는 암호화 및 해싱 알고리즘을 튜닝하는 방법암호화 제품군은 DD SSH 서버에서 변경됩니다. 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

이 변경 사항으로 인해 DDR 공개 키를 사용하여 Avamar에서 Data Domain으로 SSH를 수행할 수 없습니다.
이는 Avamar SSH Client가 더 이상 Data Domain SSH 서버와 암호화 제품군을 공유하지 않기 때문입니다. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

解决方案

Data Domain에서 SSH 암호화 제품군이 업데이트되면 Avamar SSH 클라이언트 측에서 암호화 제품군을 업데이트해야 합니다.

작업
현재 Avamar SSH 클라이언트 암호화 제품군 나열 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
ssh_config 파일을 편집하고 암호 목록과 함께 파일의 마지막 줄을 변경하여 새 암호화를 포함합니다. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.Com 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
파일의 마지막 줄을 편집한 후 다음과 같이 표시되어야 합니다. 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
DDR 공개 키를 사용하여 SSH 암호화 제품군 호환성을 테스트하여 공개 키 인증을 사용하여 Data Domain에 로그인합니다. 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

受影响的产品

Avamar
文章属性
文章编号: 000203343
文章类型: Solution
上次修改时间: 20 10月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。