Como usar o SSH para fazer log-in em um Data Domain remoto sem fornecer uma senha

SSH é um protocolo de rede que permite a troca de dados usando um canal seguro entre dois dispositivos em rede. O SSH foi projetado como um substituto para o protocolo Telnet devido à incapacidade do Telnet de proteger os dados contra ataques "man in the middle". A criptografia usada pelo SSH fornece confidencialidade e integridade dos dados em uma rede insegura, como a Internet.

Por conveniência, facilidade de administração e integração em outros produtos (como o DELL EMC DPA), talvez seja necessário acessar um DD de modo programático sem que um administrador forneça uma senha toda vez ou armazenar a senha de forma insegura em algum arquivo de texto. É aí que a autenticação de chave SSH entra em vigor.

Requisitos de SSH

• Um computador com um client SSH instalado (como OpenSSH ou PuTTY)
• Conectividade de rede IP usando a porta TCP 22
• Servidor SSH ativado e monitorando a porta TCP 22 (esse é o padrão para o sistema Data Domain)
• Teste se você pode inicialmente se conectar ao DD remoto por meio de SSH usando um nome de usuário e senha:

1. Execute o software client SSH no sistema remoto.
2. Configure o client SSH para se conectar usando o nome de host ou o endereço IP do sistema Data Domain.
   • Se estiver usando PuTTY, saia da porta padrão (22) e clique em: "Open."
   • Se você estiver se conectando pela primeira vez, será exibida uma mensagem semelhante a esta:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     Clique em Yes
3. Faça login no sistema. Se estiver se conectando ao sistema Data Domain pela primeira vez e a senha do usuário "sysadmin" não tiver sido alterada:
   • O nome de usuário é: sysadmin
   • A senha é o número de série 180583 do sistema

Como configurar o sistema para fazer log-in sem usar uma senha: Em um sistema Linux ou UNIX

1. Gere uma chave SSH.
   #### O tipo de chave recomendado é "rsa" e é o único que funciona com o DDOS 6.0 e posterior

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Chaves do tipo "dsa" também funcionarão no DDOS 5.7 ou anterior, no entanto, esse tipo de chave não é mais recomendado

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   A referência de comando do DDOS diz para usar a opção " d" em vez de "-t dsa." Qualquer um deles funcionará no DDOS, mas " d" não funciona em muitas distribuições Linux.

   Use a opção de frase secreta em branco para ignorar o requisito de senha do sistema Data Domain ao executar scripts.

   Anote o local da nova chave SSH na saída do comando "ssh-keygen". Ele fica armazenado no diretório $HOME do usuário abaixo .ssh/ como um arquivo chamado id_rsa.pub.

2. Adicione a chave gerada à lista de acesso dos sistemas Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Teste a funcionalidade.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Você também pode passar um script inteiro de comandos do sistema em um arquivo para o dispositivo. Isso é feito executando um comando para apontar para o arquivo específico que contém a lista de comandos:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Isso permite que um operador crie uma lista de comandos em um host remoto e, em seguida, execute-os todos de uma vez por meio de SSH.

Como configurar o sistema para fazer log-in sem usar uma senha: Sistemas Windows (PuTTY)

1. Instale as ferramentas PuTTY SSH: PuTTY, PuTTYgen e Pageant, no sistema Windows

2. Crie uma sessão PuTTY.

   1. Inicie o PuTTY, a ferramenta PuTTY Configuration.
   2. Salve uma sessão com o endereço IP do sistema Data Domain.
      1. Na caixa de diálogo PuTTY Configuration, selecione Category > Session.
      2. Selecione o botão SSH.
      3. Digite o endereço IP do sistema Data Domain no campo Host Name field e Saved Sessions. Por exemplo: 168.192.2.3
      4. Clique em Save.
         

3. Digite o nome de usuário de log-in automático.

   1. Na caixa de diálogo PuTTY Configuration, selecione a Category > Connection > Data.
   2. Digite o nome de usuário do administrador no campo Auto-login Username. Por exemplo:
      sysadmin
   3. Clique em Save.

4. Crie uma chave PuTTY.

   1. Inicie o PuTTYgen, a ferramenta PuTTY Key Generator.
      
   2. Gere chaves públicas e privadas usando a ferramenta PuTTY Key Generator.
      1. Gere alguma aleatoriedade movendo o cursor sobre a área em branco no campo Key.
         A chave pública para colar no arquivo authorized_keys do OpenSSH é preenchida com caracteres aleatórios.
         O campo Key fingerprint é preenchido com valores de referência.
      2. Crie um identificador de chave no campo Key comment, digite um nome de chave de identificação, por exemplo:
         admin_name@company.com
      3. Deixe os campos Key passphrase e Confirm passphrase em branco.
         Use a opção de frase secreta em branco para ignorar o requisito de senha do sistema Data Domain ao executar scripts.
      4. Clique em Save public key.
      5. Clique em Save private key.
         Anote o caminho para o arquivo de chave salvo. Exemplo de nome de arquivo de chave:
         DataDomain_private_key.ppk
   3. Copie a chave PuTTY gerada aleatoriamente.
      Selecione todo o texto no campo Public key for pasting para OpenSSH authorized_keys.
      

5. Adicione a chave na linha de comando do sistema Data Domain.

   1. Abra um prompt de comando do sistema Data Domain.
   2. Adicione a chave de acesso SSH administrativa. Na linha de comando, digite:

      adminaccess add ssh-keys

   3. Cole a chave gerada aleatoriamente do campo PuTTYgen. Clicando com o botão direito do mouse, use > opção Colar.
   4. Conclua o comando e pressione CTRL+D.
      

6. Anexe a chave ao PuTTY.

   1. Na ferramenta PuTTY Configuration, selecione Connection > SSH > Auth.
   2. Selecione a caixa Attempt authentication using Pageant.
   3. Selecione a caixa Attempt keyboard-interactive auth (SSH-2)
   4. No campo Private key file for the authentication, clique em Browse.
   5. Navegue até a chave PuTTY gerada e salva na etapa 3. Por exemplo, DataDomain_private_key.ppk
   6. Salve as configurações e clique em Save.
      

7. Abra a sessão.

   1. Na caixa de diálogo PuTTY Configuration, selecione Category > Session.
   2. Clique em Open.
      Uma linha de comando do Windows é aberta. A sessão PuTTY é aberta.
      Como usar o nome de usuário sysadmin para autenticação do SO Data Domain com chave pública

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #