Integração do Avamar e do Data Domain: Compatibilidade do Conjunto de codificações SSH
摘要: Integração do Avamar e do Data Domain: Podem surgir problemas de compatibilidade do Conjunto de codificações SSH ao alterar os conjuntos de codificações do servidor SSH compatíveis com o Data Domain. ...
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Os conjuntos de codificações são alterados ou atualizados no Data Domain. O Avamar não consegue mais fazer log-in no Data Domain usando a autenticação sem senha.
O Avamar faz log-in no Data Domain usando a chave pública do Data Domain para trocar certificados quando os recursos de segurança da sessão estão ativados.
A chave DDR também é usada para atualizar o Data Domain na AUI do Avamar e na interface do usuário do Java.
Há um artigo que explica como alterar os conjuntos de codificações e hmacs SSH do Data Domain:
Como ajustar codificações compatíveis e algoritmos de hash para o servidor SSH no DDOS
Sintomas podem resultar no seguinte erro na interface do usuário/interface do usuário do Avamar:
"Failed to import host or ca automatically" para o Data Domain
Isso impede a troca de certificados entre o Avamar e o Data Domain em conexões SSH.
O Avamar faz log-in no Data Domain usando a chave pública do Data Domain para trocar certificados quando os recursos de segurança da sessão estão ativados.
A chave DDR também é usada para atualizar o Data Domain na AUI do Avamar e na interface do usuário do Java.
Há um artigo que explica como alterar os conjuntos de codificações e hmacs SSH do Data Domain:
Como ajustar codificações compatíveis e algoritmos de hash para o servidor SSH no DDOS
Sintomas podem resultar no seguinte erro na interface do usuário/interface do usuário do Avamar:
"Failed to import host or ca automatically" para o Data Domain
Isso impede a troca de certificados entre o Avamar e o Data Domain em conexões SSH.
原因
A partir do conteúdo do artigo da KB na seção sintomas:
000069763 | Como ajustar codificações e algoritmos de hash compatíveis para o servidor SSH no DDOS
Os conjuntos de codificações são alterados no servidor DD SSH:
Essa alteração rompe a capacidade de SSH com a chave pública DDR do Avamar para o Data Domain.
Isso ocorre porque o Avamar SSH Client não compartilha mais um conjunto de codificações com o servidor SSH do Data Domain.
000069763 | Como ajustar codificações e algoritmos de hash compatíveis para o servidor SSH no DDOS
Os conjuntos de codificações são alterados no servidor DD SSH:
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
Essa alteração rompe a capacidade de SSH com a chave pública DDR do Avamar para o Data Domain.
Isso ocorre porque o Avamar SSH Client não compartilha mais um conjunto de codificações com o servidor SSH do Data Domain.
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com解析度
Depois que os conjuntos de codificações SSH forem atualizados no Data Domain, devemos atualizar os conjuntos de codificações no lado do client SSH do Avamar para corresponder.
Ação
Listar os conjuntos de codificações atuais do client Avamar SSH
Ação
Listar os conjuntos de codificações atuais do client Avamar SSH
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc Edite ssh_config arquivo e altere a última linha do arquivo com a lista de cifras para incluir as novas cifras. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config Depois de editar a última linha do arquivo, ela deve ser semelhante à seguinte:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc Teste a compatibilidade do conjunto de codificações SSH usando a chave pública DDR para fazer log-in no Data Domain com autenticação de chave pública.
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**
ddboost@datadomain#受影響的產品
Avamar文章屬性
文章編號: 000203343
文章類型: Solution
上次修改時間: 20 10月 2025
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。