Utilizzo di SSH per accedere a un Data Domain remoto senza fornire una password

SSH è un protocollo di rete che consente lo scambio di dati utilizzando un canale sicuro tra due dispositivi in rete. SSH è stato progettato in sostituzione del protocollo Telnet a causa dell'incapacità di quest'ultimo di proteggere i dati dagli attacchi "man in the middle". La crittografia utilizzata da SSH garantisce la riservatezza e l'integrità dei dati su una rete non sicura, come Internet.

Per motivi di praticità, facilità di amministrazione e integrazione in altri prodotti (ad esempio DELL EMC DPA), potrebbe essere necessario accedere a un DD a livello di codice senza che un amministratore fornisca ogni volta una password o senza archiviare la password in modo non sicuro in un file di testo. È qui che interviene l'autenticazione con chiave SSH.

Requisiti SSH

• Un computer con un client SSH installato (ad esempio OpenSSH o PuTTY)
• Connettività di rete IP tramite la porta TCP 22
• Server SSH abilitato e in ascolto sulla porta TCP 22 (impostazione predefinita per il sistema Data Domain)
• Verifica della possibilità di connettersi inizialmente al DD remoto tramite SSH utilizzando un nome utente e una password:

1. Eseguire il software client SSH sul sistema remoto.
2. Configurare il client SSH per la connessione utilizzando il nome host o l'indirizzo IP del sistema Data Domain.
   • Se si utilizza PuTTY, lasciare la porta predefinita (22) e cliccare su "Open".
   • Alla prima connessione, viene visualizzato un messaggio simile al seguente:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     Cliccare su Yes.
3. Accedere al sistema. Se ci si connette al sistema Data Domain per la prima volta e la password utente "sysadmin" non è stata modificata:
   • Il nome utente è: sysadmin.
   • La password è il numero di serie (vedere l'articolo 180583) del sistema.

Configurazione del sistema per l'accesso senza utilizzo di una password: su un sistema Linux o UNIX

1. Generare una chiave SSH.
   #### Il tipo di chiave consigliato è "rsa" ed è l'unico compatibile con DDOS 6.0 e versioni successive.

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Anche le chiavi di tipo "dsa" funzionano su DDOS 5.7 o versioni precedenti, ma questo tipo di chiave non è più consigliato.

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La Guida di riferimento ai comandi DDOS indica di utilizzare l'opzione " d" anziché "-t dsa". Entrambe funzionano su DDOS, ma " d" non funziona su molte distribuzioni Linux.

   Utilizzare l'opzione della passphrase vuota per ignorare il requisito della password del sistema Data Domain durante l'esecuzione degli script.

   Prendere nota della posizione della nuova chiave SSH nell'output del comando "ssh-keygen". Viene memorizzata nella directory $HOME dell'utente sotto .ssh/ come file denominato id_rsa.pub.

2. Aggiungere la chiave generata all'elenco degli accessi del sistema Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testare la funzionalità.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

È anche possibile passare al dispositivo un intero script di comandi di sistema in un file. A tale scopo, eseguire un comando che punta al file specifico contenente l'elenco dei comandi:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Ciò consente a un operatore di creare un elenco di comandi su un host remoto e quindi eseguirli tutti insieme tramite SSH.

Configurazione del sistema per l'accesso senza utilizzo di una password: sistemi Windows (PuTTY)

1. Installare gli strumenti SSH PuTTY (PuTTY, PuTTYgen e Pageant) sul sistema Windows.

2. Creare una sessione PuTTY.

   1. Avviare PuTTY, strumento PuTTY Configuration.
   2. Salvare una sessione con l'indirizzo IP del sistema Data Domain.
      1. Nella finestra di dialogo PuTTY Configuration, selezionare Category > Session.
      2. Selezionare il pulsante SSH.
      3. Inserire l'indirizzo IP del sistema Data Domain nel campo Host Name e nel campo Saved Sessions. Ad esempio: 168.192.2.3
      4. Cliccare su Save.
         

3. Inserire il nome utente Auto-Login.

   1. Nella finestra di dialogo PuTTY Configuration, selezionare Category > Connection > Data.
   2. Inserire il nome utente dell'amministratore nel campo del nome utente Auto-Login. Ad esempio:
      sysadmin
   3. Cliccare su Save.

4. Creare una chiave PuTTY.

   1. Avviare PuTTYgen, lo strumento PuTTY Key Generator.
      
   2. Generare le chiavi pubbliche e private utilizzando lo strumento PuTTY Key Generator.
      1. Generare caratteri casuali spostando il cursore nell'area vuota del campo Key.
         Il campo Public key for pasting into the OpenSSH authorized_keys file si riempie con caratteri casuali.
         Il campo Key fingerprint si riempie con valori di riferimento.
      2. Creare un identificativo della chiave nel campo Key comment digitando ad esempio:
         admin_name@company.com
      3. Lasciare vuoti i campi Key passphrase e Confirm passphrase.
         Utilizzare l'opzione della passphrase vuota per ignorare il requisito della password del sistema Data Domain durante l'esecuzione degli script.
      4. Cliccare su Save public key.
      5. Cliccare su Save private key.
         Prendere nota del percorso del file della chiave salvato. Esempio di nome file della chiave:
         DataDomain_private_key.ppk
   3. Copiare la chiave PuTTY generata casualmente.
      Selezionare tutto il testo nel campo Public key for pasting into the OpenSSH authorized_keys file.
      

5. Aggiungere la chiave nella riga di comando del sistema Data Domain.

   1. Aprire un prompt dei comandi del sistema Data Domain.
   2. Aggiungere la chiave di accesso SSH amministrativa. Sulla riga di comando digitare:

      adminaccess add ssh-keys

   3. Incollare la chiave generata casualmente dal campo PuTTYgen. Cliccare con il pulsante destro del mouse > Paste.
   4. Per completare il comando, premere CTRL+D.
      

6. Collegare la chiave a PuTTY.

   1. Nello strumento PuTTY Configuration selezionare Connection > SSH > Auth.
   2. Selezionare la casella Attempt authentication using Pageant.
   3. Selezionare la casella Attempt keyboard-interactive auth (SSH-2).
   4. Nel campo Private key file for the authentication, cliccare su Browse.
   5. Individuare la chiave PuTTY generata e salvata nel passaggio 3, ad esempio DataDomain_private_key.ppk.
   6. Salvare le impostazioni e cliccare su Save.
      

7. Aprire la sessione.

   1. Nella finestra di dialogo PuTTY Configuration, selezionare Category > Session.
   2. Cliccare su Open.
      Viene visualizzata la riga di comando di Windows. Viene aperta la sessione PuTTY.
      Utilizzo del nome utente sysadmin per l'autenticazione in Data Domain OS con chiave pubblica

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #