SSH (SSH) gebruiken om je zonder wachtwoord aan te melden bij een extern Data Domain

SSH is een netwerkprotocol waarmee gegevens via een beveiligd kanaal kunnen worden uitgewisseld tussen twee netwerkapparaten. SSH is ontworpen als vervanging voor het Telnet-programma vanwege het onvermogen van Telnet om gegevens te beschermen tegen "man in the middle"-aanvallen. De versleuteling die door SSH wordt gebruikt, zorgt voor vertrouwelijkheid en integriteit van gegevens via een onveilig netwerk, zoals internet.

Voor gemak, beheergemak en integratie in andere producten (zoals DELL EMC DPA) moet een DD mogelijk programmatisch worden geopend zonder dat een beheerder elke keer een wachtwoord opgeeft of het wachtwoord onveilig opslaat in een tekstbestand. Dat is waar SSH-sleutelauthenticatie om de hoek komt kijken.

SSH-vereisten

• Een computer waarop een SSH-client is geïnstalleerd (zoals OpenSSH of PuTTY)
• IP-netwerkconnectiviteit via TCP-poort 22
• SSH-server ingeschakeld en luisteren op TCP-poort 22 (dit is standaard voor het Data Domain systeem)
• Test kunt u in eerste instantie verbinding maken met de externe DD via SSH met behulp van een gebruikersnaam en wachtwoord:

1. Voer de SSH-clientsoftware uit op het externe systeem.
2. Configureer de SSH-client om verbinding te maken met behulp van de hostnaam of het IP-adres van het Data Domain-systeem.
   • Als u PuTTY gebruikt, verlaat dan de standaardpoort (22) en klik op: "Openen."
   • Als u voor de eerste keer verbinding maakt, verschijnt er een bericht dat er ongeveer zo uitziet:

     De hostsleutel van de server wordt niet in het register opgeslagen. U hebt geen garantie dat de server de computer is die u denkt dat hij is. De rsa2-sleutelvingerafdruk van de server is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Als u deze host vertrouwt, drukt u op Ja om de sleutel toe te voegen aan de cache van PuTTY en verder te gaan met verbinden. Als u slechts één keer verbinding wilt maken, zonder de sleutel aan de cache toe te voegen, drukt u op Nee. Als u deze host niet vertrouwt, drukt u op Annuleren om de verbinding te verbreken.

     Klik op Ja
3. Meld u aan bij het systeem. Als u voor het eerst verbinding maakt met het Data Domain systeem en het gebruikerswachtwoord "sysadmin" niet is gewijzigd:
   • Gebruikersnaam is: sysadmin
   • Het wachtwoord is het serienummer 180583 van het systeem

Het systeem configureren om aan te melden zonder een wachtwoord te gebruiken: Op een Linux- of UNIX-systeem

1. Genereer een SSH-sleutel.
   #### Het aanbevolen toetstype is "rsa" en werkt als enige met DDOS 6.0 en hoger

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Toetsen van het type "dsa" werken ook op DDOS 5.7 of eerder, maar dit sleuteltype wordt niet langer aanbevolen

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   De DDOS Command Reference zegt dat u de " d" optie in plaats van "-t dsa." Beide zullen werken op DDOS, maar " d" werkt niet op veel Linux-distributies.

   Gebruik de optie lege wachtwoordzin om het vereiste Data Domain-systeemwachtwoord te omzeilen bij het uitvoeren van scripts.

   Let op de locatie van de nieuwe SSH-toets op de "ssh-keygen" opdrachtuitvoer. Het wordt opgeslagen onder de map $HOME van de gebruiker onder .ssh/ als een bestand met de naam id_rsa.pub.

2. Voeg de gegenereerde sleutel toe aan de toegangslijst voor Data Domain systemen.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Test functionaliteit.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

U kunt ook een volledig script met systeemopdrachten in een bestand doorgeven aan het apparaat. Dit wordt gedaan door een opdracht uit te voeren om naar het specifieke bestand te verwijzen dat de lijst met opdrachten bevat:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Hierdoor kan een operator een lijst met opdrachten maken op een externe host en deze vervolgens allemaal tegelijk uitvoeren via SSH.

Het systeem configureren om aan te melden zonder een wachtwoord te gebruiken: Windows-systemen (PuTTY)

1. Installeer de SSH PuTTY tools: PuTTY, PuTTYgen en Pageant op het Windows-systeem

2. Maak een PuTTY-sessie.

   1. Start PuTTY, de PuTTY-configuratietool.
   2. Sla een sessie op met het IP-adres van het Data Domain-systeem.
      1. Selecteer in het dialoogvenster PuTTY-configuratie de optie Categoriesessie>.
      2. Selecteer de SSH-knop .
      3. Voer het IP-adres van het Data Domain-systeem in het veld Hostnaam en Opgeslagen sessies in. Bijvoorbeeld: 168.192.2.3
      4. Klik op Opslaan.
         

3. Voer de gebruikersnaam voor automatisch aanmelden in.

   1. Selecteer in het dialoogvenster PuTTY-configuratie de categorie>Verbindingsgegevens>.
   2. Voer de gebruikersnaam van de beheerder in het veld Gebruikersnaam voor automatisch aanmelden in. Bijvoorbeeld:
      Systeembeheerder
   3. Klik op Opslaan.

4. Maak een PuTTY-sleutel.

   1. Start PuTTYgen, de PuTTY Key Generator tool.
      
   2. Genereer openbare en privésleutels met behulp van de PuTTY Key Generator tool.
      1. Genereer wat willekeur door de cursor over het lege gebied in het sleutelveld te bewegen.
         De openbare sleutel om in het OpenSSH authorized_keys-bestand te plakken wordt gevuld met willekeurige tekens.
         Het veld Sleutelvingerafdruk wordt gevuld met referentiewaarden.
      2. Maak een sleutel-id in het veld Sleutelopmerking, typ een identificerende sleutelnaam, bijvoorbeeld:
         admin_name@company.com
      3. Laat de velden Sleutelwachtwoordzin en Bevestig wachtwoordzin leeg.
         Gebruik de optie lege wachtwoordzin om het vereiste Data Domain-systeemwachtwoord te omzeilen bij het uitvoeren van scripts.
      4. Klik op Openbare sleutel opslaan.
      5. Klik op Privésleutel opslaan.
         Noteer het pad naar het opgeslagen sleutelbestand. Voorbeeld van een sleutelbestandsnaam:
         DataDomain_private_key.ppk
   3. Kopieer de willekeurig gegenereerde PuTTY-sleutel.
      Selecteer alle tekst in het veld, Openbare sleutel om in het OpenSSH authorized_keys-bestand te plakken.
      

5. Voeg de sleutel toe in de Data Domain systeemopdrachtregel.

   1. Open een Data Domain systeemopdrachtprompt.
   2. Voeg de SSH-toegangssleutel voor beheer toe. Typ in de opdrachtregel:

      adminaccess add ssh-keys

   3. Plak de willekeurig gegenereerde sleutel uit het veld PuTTYgen. Gebruik de muis Rechtsklikken > op de optie Plakken.
   4. Voltooi de opdracht, druk op CTRL+D.
      

6. Bevestig de sleutel aan PuTTY.

   1. Selecteer in de PuTTY Configuration Tool Connection>SSH>Auth.
   2. Selectievakje Poging tot authenticatie met behulp van Pageant.
   3. Selectievakje Poging toetsenbord-interactieve verificatie (SSH-2)
   4. Klik in het bestand Persoonlijke sleutel voor het authenticatieveld op Browse.
   5. Blader naar de PuTTY-sleutel die is gegenereerd en opgeslagen in stap 3. Bijvoorbeeld: DataDomain_private_key.ppk
   6. Instellingen opslaan, klik op Opslaan.
      

7. Open de sessie.

   1. Selecteer in het dialoogvenster PuTTY-configuratie de optie Categoriesessie>.
   2. Klik op Openen.
      Er wordt een Windows-opdrachtregel geopend. De PuTTY-sessie wordt geopend.
      De gebruikersnaam gebruiken sysadmin Data Domain OS Authenticatie met openbare sleutel

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #