Использование SSH для входа в удаленную систему Data Domain без ввода пароля

SSH — это сетевой протокол, который позволяет обмениваться данными по защищенному каналу между двумя сетевыми устройствами. Протокол SSH был разработан в качестве замены для протокола Telnet из-за неспособности Telnet защитить данные от атак через посредника. Шифрование, используемое SSH, обеспечивает конфиденциальность и целостность данных в незащищенной сети, например в Интернете.

Для удобства, простоты администрирования и интеграции с другими продуктами (например, DELL EMC DPA) может потребоваться программный доступ к DD без предоставления администратором пароля каждый раз или небезопасного хранения пароля в текстовом файле. Именно здесь применяется проверка подлинности с помощью ключа SSH.

Требования SSH

• Компьютер с установленным клиентом SSH (например, OpenSSH или PuTTY)
• Подключение к IP-сети с использованием порта TCP 22
• Сервер SSH включен и прослушивает порт TCP 22 (конфигурация по умолчанию для системы Data Domain)
• Для выполнения теста можно изначально подключиться к удаленной системе DD через SSH, используя имя пользователя и пароль:

1. Запустите клиентское ПО SSH на удаленной системе.
2. Настройте клиент SSH для подключения с помощью имени хоста или IP-адреса системы Data Domain.
   • При использовании PuTTY оставьте порт по умолчанию (22) и нажмите: «Open».
   • При первом подключении появляется сообщение, которое выглядит следующим образом:

     Ключ хоста сервера не кэшируется в реестре. Нет никаких гарантий, что сервер — это именно тот компьютер, о котором вы думаете. Отпечаток ключа rsa2 сервера: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a. Если вы доверяете этому хосту, нажмите «Yes», чтобы добавить ключ в кэш PuTTY и продолжить подключение. Если вы хотите выполнить подключение только один раз, не добавляя ключ в кэш, нажмите «No». Если вы не доверяете этому хосту, нажмите «Cancel», чтобы отменить подключение.

     Нажмите Yes.
3. Выполните вход в систему. Если выполняется первое подключение к системе Data Domain и пароль пользователя «sysadmin» не был изменен:
   • Имя пользователя: sysadmin
   • Пароль — это серийный номер системы: 180583

Настройка входа в систему без использования пароля: В системе Linux или UNIX

1. Создайте ключ SSH.
   #### Рекомендуемый тип ключа — «rsa», и это единственный ключ, который работает с DDOS 6.0 и более поздними версиями

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Ключи типа «dsa» также будут работать в DDOS 5.7 или более ранних версиях, однако этот тип ключа больше не является рекомендуемым

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   В справочном руководстве по командам DDOS указано, что нужно использовать опцию « d» вместо «-t dsa». Оба варианта будут работать в DDOS, но « d» не работает во многих дистрибутивах Linux.

   Используйте пустую опцию фразы-пароля, чтобы обойти требование к паролю системы Data Domain при выполнении сценариев.

   Запишите расположение нового ключа SSH в выходных данных команды «ssh-keygen». Он хранится в подкаталоге .ssh/ пользовательского каталога $HOME в виде файла с именем id_rsa.pub.

2. Добавьте созданный ключ в список доступа системы Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Проверьте функциональность.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Кроме того, на устройство можно передать целый сценарий системных команд в файле. Для этого выполните команду, чтобы указать на конкретный файл, содержащий список команд:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Это позволяет оператору создавать список команд на удаленном хосте и запускать их одновременно по протоколу SSH.

Настройка входа в систему без использования пароля: Системы Windows (PuTTY)

1. Установите инструменты SSH PuTTY. PuTTY, PuTTYgen и Pageant в системе Windows

2. Откройте сеанс PuTTY.

   1. Запустите PuTTY, инструмент настройки PuTTY.
   2. Сохраните сеанс с IP-адресом системы Data Domain.
      1. В диалоговом окне «PuTTY Configuration» выберите Category > Session.
      2. Нажмите кнопку SSH.
      3. Введите IP-адрес системы Data Domain в поля «Host Name» и «Saved Sessions». Пример. 168.192.2.3
      4. Нажмите Save.
         

3. Введите имя пользователя для автоматического входа.

   1. В диалоговом окне «PuTTY Configuration» выберите Category > Connection > Data.
   2. Введите имя пользователя администратора в поле «Auto-login username». Пример.
      sysadmin
   3. Нажмите Save.

4. Создайте ключ PuTTY.

   1. Запустите PuTTYgen, инструмент для создания ключей PuTTY.
      
   2. Сгенерируйте открытый и закрытый ключи с помощью инструмента для создания ключей PuTTY.
      1. Создайте некоторую случайность, наведя курсор на пустую область в поле «Key».
         Открытый ключ для вставки в файл OpenSSH authorized_keys заполняется случайными символами.
         Поле «Key fingerprint» заполняется справочными значениями.
      2. Создайте идентификатор ключа в поле «Key comment», введите идентифицирующее имя ключа, например:
         admin_name@company.com
      3. Оставьте поля «Key passphrase» и «Confirm passphrase» пустыми.
         Используйте пустую опцию фразы-пароля, чтобы обойти требование к паролю системы Data Domain при выполнении сценариев.
      4. Нажмите «Save public key».
      5. Нажмите «Save private key».
         Запишите путь к сохраненному файлу ключа. Пример имени файла ключа:
         DataDomain_private_key.ppk
   3. Скопируйте случайно сгенерированный ключ PuTTY.
      Выберите весь текст в поле «Public key» для вставки в файл OpenSSH authorized_keys.
      

5. Добавьте ключ в командную строку системы Data Domain.

   1. Откройте командную строку системы Data Domain.
   2. Добавьте административный ключ доступа SSH. В командной строке введите:

      adminaccess add ssh-keys

   3. Вставьте случайно сгенерированный ключ из поля PuTTYgen. Нажмите правой кнопкой мыши > «Paste».
   4. Завершите выполнение команды, нажмите CTRL+D.
      

6. Прикрепите ключ к PuTTY.

   1. В инструменте «PuTTY Configuration» выберите Connection > SSH > Auth.
   2. Установите флажок Attempt authentication using Pageant.
   3. Установите флажок Attempt keyboard-interactive auth (SSH-2).
   4. В поле «Authentication» файла закрытого ключа нажмите Browse.
   5. Перейдите к ключу PuTTY, созданному и сохраненному на шаге 3. Например, DataDomain_private_key.ppk
   6. Сохраните настройки, нажмите Save.
      

7. Откройте сеанс.

   1. В диалоговом окне «PuTTY Configuration» выберите Category > Session.
   2. Нажмите Открыть.
      Откроется командная строка Windows. Откроется сеанс PuTTY.
      Использование имени пользователя «sysadmin» для проверки подлинности ОС Data Domain с открытым ключом

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #