Uso de SSH para iniciar sesión en Data Domain remoto sin proporcionar una contraseña

SSH es un protocolo de red que permite el intercambio de datos mediante un canal seguro entre dos dispositivos en red. SSH se diseñó como un reemplazo del protocolo Telnet debido a la incapacidad de Telnet para proteger los datos contra ataques de “intermediario”. El cifrado que utiliza SSH proporciona confidencialidad e integridad de los datos a través de una red poco segura, como Internet.

Para mayor comodidad, facilidad de administración e integración con otros productos (como DELL EMC DPA), es posible que se deba acceder a DD mediante programación sin que un administrador proporcione una contraseña cada vez o sin que la contraseña se almacene de manera insegura en algún archivo de texto. Ahí es donde entra en juego la autenticación de claves SSH.

Requisitos de SSH

• Una computadora con un cliente SSH instalado (como OpenSSH o PuTTY)
• Conectividad de red IP mediante el puerto TCP 22
• Servidor SSH habilitado con escucha en el puerto TCP 22 (este es el valor predeterminado para el sistema Data Domain)
• Pruebe la conexión inicial con el sistema DD remoto a través de SSH mediante un nombre de usuario y una contraseña:

1. Ejecute el software cliente SSH en el sistema remoto.
2. Configure el cliente SSH para conectarse mediante la dirección IP o el nombre de host del sistema Data Domain.
   • Si utiliza PuTTY, deje el puerto predeterminado (22) y haga clic en: “Open”.
   • Si se conecta por primera vez, se mostrará un mensaje similar al siguiente:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     Haga clic en Yes
3. Inicie sesión en el sistema. Si se conecta al sistema Data Domain por primera vez y no se cambió la contraseña de usuario “sysadmin”:
   • El nombre de usuario es: sysadmin
   • La contraseña es el número de serie 180583 del sistema

Configuración del sistema para iniciar sesión sin usar una contraseña: En un sistema Linux o UNIX

1. Genere una clave SSH.
   #### El tipo de clave recomendado es “rsa” y es el único que funciona con DDOS 6.0 y versiones posteriores

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Las claves de tipo “dsa” funcionarán en DDOS 5.7 o versiones anteriores; sin embargo, este tipo de clave ya no se recomienda

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La referencia de comandos de DDOS dice que se debe usar la opción “ d” en lugar de “-t dsa”. Cualquiera de las dos funciona en DDOS, pero “ d” no funciona en muchas distribuciones de Linux.

   Utilice la opción de frase de contraseña en blanco para omitir el requisito de contraseña del sistema Data Domain cuando ejecute scripts.

   Anote la ubicación de la nueva clave SSH en el resultado del comando “ssh-keygen”. Esto se almacena en el directorio $HOME del usuario debajo de .ssh/ como un archivo llamado id_rsa.pub.

2. Agregue la clave generada a la lista de acceso de los sistemas Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Funcionalidad de prueba.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

También puede pasar un script completo de comandos del sistema en un archivo al dispositivo. Esto se realiza mediante la ejecución de un comando para apuntar al archivo específico que contiene la lista de comandos:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Esto permite que un operador cree una lista de comandos en un host remoto y, a continuación, los ejecute todos a la vez a través de SSH.

Configuración del sistema para iniciar sesión sin usar una contraseña: Sistemas Windows (PuTTY)

1. Instale las herramientas PuTTY de SSH: PuTTY, PuTTYgen y Pageant, en el sistema Windows

2. Cree una sesión de PuTTY.

   1. Inicie PuTTY, la herramienta de configuración de PuTTY.
   2. Guarde una sesión con la dirección IP del sistema Data Domain.
      1. En el cuadro de diálogo PuTTY Configuration, seleccione Category > Session.
      2. Seleccione el botón SSH.
      3. Ingrese la dirección IP del sistema Data Domain en el campo Host Name y en el campo Saved Sessions. Por ejemplo: 168.192.2.3
      4. Haga clic en Guardar.
         

3. Ingrese el nombre de usuario de inicio de sesión automático.

   1. En el cuadro de diálogo PuTTY Configuration, seleccione Category > Connection > Data.
   2. Ingrese el nombre de usuario del administrador en el campo Auto-login username. Por ejemplo:
      sysadmin
   3. Haga clic en Guardar.

4. Cree una clave PuTTY.

   1. Inicie PuTTYgen, la herramienta generadora de claves PuTTY.
      
   2. Genere claves públicas y privadas con la herramienta generadora de claves PuTTY.
      1. Para generar cierto grado de aleatoriedad, mueva el cursor sobre el área en blanco del campo Key.
         La clave pública para pegar en el archivo authorized_keys de OpenSSH se llena de caracteres aleatorios.
         El campo Key fingerprint se completa con valores de referencia.
      2. Cree un identificador de clave en el campo Key comment y escriba un nombre de clave de identificación, por ejemplo:
         admin_name@company.com
      3. Deje en blanco los campos Key passphrase y Confirm passphrase.
         Utilice la opción de frase de contraseña en blanco para omitir el requisito de contraseña del sistema Data Domain cuando ejecute scripts.
      4. Haga clic en Save public key.
      5. Haga clic en Save private key.
         Anote la ruta al archivo de claves guardado. Ejemplo de nombre de archivo de claves:
         DataDomain_private_key.ppk
   3. Copie la clave PuTTY generada aleatoriamente.
      Seleccione todo el texto en el campo Public key para pegarlo en el archivo authorized_keys de OpenSSH.
      

5. Agregue la clave en la línea de comandos del sistema Data Domain.

   1. Abra un símbolo del sistema Data Domain.
   2. Agregue la clave de acceso administrativo SSH. En la línea de comandos, escriba:

      adminaccess add ssh-keys

   3. Pegue la clave generada aleatoriamente en el campo PuTTYgen. Haga clic con el botón secundario del mouse > opción Paste.
   4. Complete el comando y presione CTRL+D.
      

6. Adjunte la llave a PuTTY.

   1. En la herramienta PuTTY Configuration, seleccione Connection > SSH > Auth.
   2. Marque la casilla Attempt authentication using Pageant.
   3. Marque la casilla Attempt keyboard-interactive auth (SSH-2)
   4. En el campo Private key file for the authentication, haga clic en Browse.
   5. Navegue hasta la clave PuTTY generada y guardada en el paso 3. Por ejemplo, DataDomain_private_key.ppk
   6. Haga clic en Save para guardar los ajustes.
      

7. Abra la sesión.

   1. En el cuadro de diálogo PuTTY Configuration, seleccione Category > Session.
   2. Haga clic en Open (Abrir).
      Se abrirá una línea de comandos de Windows. Se abrirá la sesión de PuTTY.
      Uso del nombre de usuario sysadmin para la autenticación del SO Data Domain con clave pública

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #