Інтеграція Avamar та домену даних: Сумісність з SSH Cipher Suite

Набори шифрів змінюються або оновлюються в домені даних. Avamar більше не може увійти в домен даних за допомогою автентифікації без пароля.

Avamar входить в Data Domain за допомогою відкритого ключа Data Domain, щоб обмінюватися сертифікатами, коли включені функції безпеки сеансу.

Ключ DDR також використовується для оновлення домену даних в інтерфейсі Avamar AUI та Java.

Існує стаття, яка пояснює, як змінити набори шифрів SSH для домену даних та hmacs:Як налаштувати підтримувані шифри та алгоритми хешування для сервера SSH у DDOS

Симптоми можуть призвести до наступної помилки в Avamar AUI/UI:

"Не вдалося автоматично імпортувати хост або ca" для домену

даних Це запобігає обміну сертифікатами між Avamar та Data Domain через з'єднання SSH.

Зі змісту KB Стаття в розділі симптоми:
000069763 | Як налаштувати підтримувані шифри та алгоритми хешування для SSH сервера в DDOS

Набори шифрів змінюються на DD SSH Server:

ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Ця зміна порушує можливість SSH за допомогою відкритого ключа DDR від Avamar до Data Domain.
Це пов'язано з тим, що клієнт Avamar SSH більше не поділяє набір шифрів із сервером SSH домену даних.

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Після оновлення наборів шифрів SSH на Data Domain ми повинні оновити набори шифрів на стороні клієнта Avamar SSH, щоб вони відповідали.

Дія
Перелічіть поточні набори шифрів клієнта Avamar SSH

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

Відредагуйте файл ssh_config і змініть останній рядок файлу зі списком шифрів, щоб включити нові шифри. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh..com

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

Після редагування останнього рядка файлу вона повинна виглядати наступним чином:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

Перевірте сумісність набору шифрів SSH за допомогою відкритого ключа DDR для входу в Data Domain з аутентифікацією відкритого ключа.

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#