Використання SSH (SSH) для входу у віддалений домен даних без введення пароля

SSH — це мережевий протокол, який дозволяє обмінюватися даними за допомогою захищеного каналу між двома мережевими пристроями. SSH був розроблений як заміна протолу Telnet через нездатність Telnet захистити дані від атак «людина посередині». Шифрування, яке використовується SSH, забезпечує конфіденційність і цілісність даних у незахищеній мережі, такій як Інтернет.

Для зручності, простоти адміністрування та інтеграції в інші продукти (наприклад, DELL EMC DPA) може знадобитися програмний доступ до ДД без того, щоб адміністратор щоразу давав пароль, або ненадійно зберігаючи пароль у якомусь текстовому файлі. Саме тут на допомогу приходить автентифікація за ключем SSH.

Вимоги SSH

• Комп'ютер із встановленим клієнтом SSH (наприклад, OpenSSH або PuTTY)
• Підключення до IP-мережі за допомогою порту TCP 22
• Сервер SSH увімкнено та прослуховування на порту TCP 22 (це типове значення для системи Data Domain)
• Тест можна спочатку підключитися до віддаленого ДД через SSH за допомогою логіна і пароля:

1. Запустіть клієнтське програмне забезпечення SSH на віддаленій системі.
2. Налаштуйте SSH-клієнт на з'єднання за допомогою імені хоста або IP-адреси системи Data Domain.
   • Якщо ви використовуєте PuTTY, залиште порт за замовчуванням (22) і натисніть: «Відкритий».
   • При першому підключенні з'являється повідомлення, яке виглядає приблизно так:

     Хост-ключ сервера не кешується в реєстрі. У вас немає гарантії, що сервер є саме тим комп'ютером, який ви вважаєте за потрібне. Відбиток ключа rsa2 сервера: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Якщо ви довіряєте цьому вузлу, натисніть Yes, щоб додати ключ до кешу PuTTY і продовжити з'єднання. Якщо ви хочете продовжити підключення лише один раз, не додаючи ключ до кешу, натисніть Ні. Якщо ви не довіряєте цьому хосту, натисніть Скасувати, щоб розірвати з'єднання.

     Натисніть Так
3. Авторизуйтесь у системі. Якщо ви підключаєтеся до системи Data Domain вперше, а пароль користувача "sysadmin" не змінювався:
   • Ім'я користувача: sysadmin
   • Пароль - це серійний номер 180583 системи

Налаштування системи для входу в систему без використання пароля: У системі Linux або UNIX

1. Згенеруйте ключ SSH.
   #### Рекомендований тип ключа - "rsa", і він єдиний, який працює з DDOS 6.0 і пізнішими версіями

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Ключі типу "dsa" також працюватимуть на DDOS 5.7 або більш ранніх версіях, однак цей тип клавіш більше не рекомендується

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   У довіднику команд DDOS сказано використовувати « d" замість "-t dsa." Будь-який з них працюватиме на DDOS, але " d" не працює в багатьох дистрибутивах Linux.

   Використовуйте пусту парольну фразу, щоб обійти вимогу щодо системного пароля Data Domain під час запуску скриптів.

   Зверніть увагу на розташування нового ключа SSH на піктограмі «ssh-keygen" виведення команди. Він зберігається в каталозі $HOME користувача під .ssh/ у вигляді файла з назвою id_rsa.pub.

2. Додайте згенерований ключ до списку доступу до систем Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Тестовий функціонал.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Ви також можете передати на пристрій цілий скрипт системних команд у файлі. Для цього виконується команда, яка вказує на конкретний файл, що містить список команд:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Це дозволяє оператору створити список команд на віддаленому хості, а потім запустити їх усі одночасно через SSH.

Налаштування системи для входу в систему без використання пароля: Системи Windows (PuTTY)

1. Встановіть інструменти SSH PuTTY: PuTTY, PuTTYgen і Pageant у системі Windows

2. Створіть сеанс PuTTY.

   1. Запустіть PuTTY, інструмент налаштування PuTTY.
   2. Збережіть сеанс з IP-адресою системи Data Domain.
      1. У діалоговому вікні «Конфігурація PuTTY» виберіть «Категорія>Сеанс».
      2. Натисніть кнопку SSH .
      3. Введіть IP-адресу системи Data Domain у полях Host Name і Saved Sessions. Наприклад: 168.192.2.3
      4. Натисніть Зберегти.
         

3. Введіть ім'я користувача з автоматичним входом.

   1. У діалоговому вікні «Конфігурація PuTTY» виберіть категорію«Дані> підключення>».
   2. Введіть ім'я користувача адміністратора в поле Ім'я користувача для автоматичного входу. Наприклад:
      Сисадмін
   3. Натисніть Зберегти.

4. Створіть ключ PuTTY.

   1. Запустіть PuTTYgen, інструмент PuTTY Key Generator.
      
   2. Згенеруйте публічні та приватні ключі за допомогою інструменту PuTTY Key Generator.
      1. Створіть певну випадковість, навівши курсор на порожню область у полі «Ключ».
         Відкритий ключ для вставки у файл authorized_keys OpenSSH заповнюється випадковими символами.
         Поле «Відбиток ключа» заповнюється довідковими значеннями.
      2. Створіть ідентифікатор ключа в полі Ключ коментаря, введіть ідентифікаційне ім'я ключа, наприклад:
         admin_name@company.com
      3. Залиште поля Ключова парольна фраза та Підтвердження парольної фрази порожніми.
         Використовуйте пусту парольну фразу, щоб обійти вимогу щодо системного пароля Data Domain під час запуску скриптів.
      4. Натисніть Зберегти відкритий ключ.
      5. Натисніть Зберегти приватний ключ.
         Зверніть увагу на шлях до збереженого файлу ключа. Приклад назви файлу ключа:
         DataDomain_private_key.ppk
   3. Скопіюйте випадково згенерований ключ PuTTY.
      Виділіть весь текст в поле Відкритий ключ для вставки в файл authorized_keys OpenSSH.
      

5. Додайте ключ у командному рядку системи Data Domain.

   1. Відкрийте системний командний рядок Data Domain.
   2. Додайте адміністративний ключ доступу SSH. У командному рядку введіть:

      adminaccess add ssh-keys

   3. Вставте випадково згенерований ключ з поля PuTTYgen. Використовуйте опцію «Вставити» правою кнопкою миші > .
   4. Завершіть команду, натисніть сполучення клавіш CTRL+D.
      

6. Прикріпіть ключ до PuTTY.

   1. У інструменті налаштування PuTTY виберіть Connection>SSH>Auth.
   2. Установіть прапорець Спроба автентифікації за допомогою Pageant.
   3. Установіть прапорець Спроба інтерактивної автентифікації за допомогою клавіатури (SSH-2)
   4. У файлі закритого ключа для поля автентифікації натисніть кнопку Огляд.
   5. Перейдіть до ключа PuTTY, згенерованого та збереженого на кроці 3. Наприклад, DataDomain_private_key.ppk
   6. Збережіть налаштування, натисніть Зберегти.
      

7. Відкрийте сеанс.

   1. У діалоговому вікні «Конфігурація PuTTY» виберіть «Категорія>Сеанс».
   2. Натисніть Відкрити.
      Відкриється командний рядок Windows. Розпочинається сеанс PuTTY.
      Використання імені користувача sysadmin Домен даних ОС Аутентифікація за допомогою відкритого ключа

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #