Avamar: integrazione di Data Domain: Compatibilità con SSH Cipher Suite

摘要: Integrazione di Avamar e Data Domain: La modifica delle suite di crittografia del server SSH supportate da Data Domain può causare problemi di compatibilità con le suite di crittografia SSH. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Le suite di crittografia vengono modificate o aggiornate su Data Domain (DD o DDR). Avamar non è più in grado di accedere a Data Domain utilizzando l'autenticazione senza password.

Avamar accede a Data Domain utilizzando la chiave pubblica di Data Domain per scambiare certificati quando le funzionalità di protezione della sessione sono abilitate.

La chiave DDR viene utilizzata anche per aggiornare Data Domain nell'interfaccia utente web (AUI) di Avamar e nell'interfaccia utente di Java.

È disponibile un articolo che spiega come modificare gli array e le suite di crittografia SSH di Data Domain: Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS

I sintomi possono causare il seguente errore nell'interfaccia utente di Avamar:

Failed to import host or ca automatically

Ciò impedisce lo scambio di certificati tra Avamar e Data Domain tramite connessioni SSH.

原因

Dal contenuto del seguente articolo Come ottimizzare le crittografie e gli algoritmi hash supportati per il server SSH in DDOS (sezione sintomi):

Le suite di crittografia vengono modificate sul server DD SSH:

ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
  
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
  
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
  
ddboost@datadomain# adminaccess ssh option show 
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
 

Questa modifica interrompe la possibilità di accedere tramite SSH con la chiave pubblica DDR da Avamar a Data Domain.

Ciò è dovuto al fatto che il client SSH Avamar non condivide più una suite di crittografia con il server SSH di Data Domain:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

解析度

Una volta aggiornate le suite di crittografia SSH su Data Domain, le suite di crittografia sul lato client SSH Avamar devono essere aggiornate in modo che corrispondano:

1. Elencare le suite di crittografia SSH Client correnti di Avamar:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

2. Modificare la proprietà ssh_config del server NetWorker Management Console (NMC):

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
 

3. Modificare l'ultima riga del file con l'elenco delle crittografie per includere le nuove crittografie chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Dopo aver modificato l'ultima riga del file, dovrebbe essere simile al seguente:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
 

5. Testare la compatibilità della suite di crittografia SSH utilizzando la chiave pubblica DDR per accedere a Data Domain con l'autenticazione con chiave pubblica:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**

受影響的產品

Avamar
文章屬性
文章編號: 000203343
文章類型: Solution
上次修改時間: 13 1月 2026
版本:  6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。