Avamar 和 Data Domain 集成:SSH 密码套件兼容性

摘要: Avamar 和 Data Domain 集成:更改 Data Domain 支持的 SSH 服务器密码套件可能会导致 SSH 密码套件兼容性问题。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

密码套件在 Data Domain 上更改或升级。Avamar 不再能够使用无密码身份验证登录到 Data Domain。

Avamar 使用 Data Domain 的公钥登录到 Data Domain,以便在启用会话安全功能时交换证书。

DDR 密钥还用于更新 Avamar AUI 和 Java UI 中的 Data Domain。

有一篇文章介绍了如何更改 Data Domain SSH 密码套件和 hmacs
如何在 DDOS

中调整 SSH 服务器支持的密码和哈希算法 症状可能会导致 Avamar AUI/UI 中出现以下错误:
Data Domain

的“Failed to import host or ca automatically”这可防止通过 SSH 连接在 Avamar 和 Data Domain 之间交换证书。

原因

从症状部分的知识库文章的内容中:
000069763 |如何在 DDOS

中调整 SSH 服务器支持的密码和哈希算法在 DD SSH 服务器上更改密码套件: 
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

此更改会中断使用从 Avamar 到 Data Domain 的 DDR 公钥进行 SSH 的功能。
这是因为 Avamar SSH 客户端不再与 Data Domain SSH 服务器共享加密套件。 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

解决方案

在 Data Domain 上更新 SSH 密码套件后,我们必须更新 Avamar SSH 客户端上的加密套件以进行匹配。

行动
列出当前的 Avamar SSH 客户端加密套件 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
编辑ssh_config文件,并使用密码列表更改文件的最后一行以包括新密码。 chacha20-poly1305@opensshcom,aes256-gcm@opensshcom,aes128-gcm@opensshCom 
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
编辑文件的最后一行后,它应如下所示: 
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
使用 DDR 公钥测试 SSH 密码套件的兼容性,以使用公钥身份验证登录到 Data Domain。 
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#

受影响的产品

Avamar
文章属性
文章编号: 000203343
文章类型: Solution
上次修改时间: 20 10月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。