Verwenden von SSH (SSH) zum Anmelden bei einer Remote-Data Domain ohne Angabe eines Kennworts

SSH ist ein Netzwerkprotokoll, das den Datenaustausch über einen sicheren Kanal zwischen zwei vernetzten Geräten ermöglicht. SSH wurde als Ersatz für das Telnet-Programm entwickelt, da Telnet nicht in der Lage ist, Daten vor „Man-in-the-Middle“-Angriffen zu schützen. Die von SSH verwendete Verschlüsselung gewährleistet Vertraulichkeit und Integrität von Daten über ein unsicheres Netzwerk wie das Internet.

Aus Gründen der Bequemlichkeit, der einfachen Verwaltung und der Integration in andere Produkte (z. B. DELL EMC DPA) muss möglicherweise programmgesteuert auf ein DD-System zugegriffen werden, ohne dass AdministratorInnen jedes Mal ein Kennwort eingeben oder das Kennwort unsicher in einer Textdatei speichern. Hier kommt die SSH-Schlüsselauthentifizierung ins Spiel.

SSH-Anforderungen

• Ein Computer mit installiertem SSH-Client (z. B. OpenSSH oder PuTTY)
• IP-Netzwerkverbindung über TCP-Anschluss 22
• SSH-Server ist aktiviert und überwacht TCP-Port 22 (dies ist die Standardeinstellung für das Data Domain-System)
• Testen Sie, ob Sie sich anfänglich über SSH mit einem Nutzernamen und einem Kennwort mit der Remote-DD verbinden können:

1. Führen Sie die SSH-Clientsoftware auf dem Remotesystem aus.
2. Konfigurieren Sie den SSH-Client so, dass eine Verbindung über den Hostnamen oder die IP-Adresse des Data Domain-Systems hergestellt wird.
   • Wenn Sie PuTTY verwenden, behalten Sie den Standardport (22) bei und klicken Sie auf: „Open“.
   • Wenn Sie zum ersten Mal eine Verbindung herstellen, wird eine Meldung angezeigt, die in etwa so aussieht:

     Der Hostschlüssel des Servers wird nicht in der Registrierung zwischengespeichert. Es gibt keine Garantie dafür, dass es sich bei dem Server um den Computer handelt, für den Sie ihn halten. Der rsa2-Schlüsselfingerabdruck des Servers lautet: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Wenn Sie diesem Host vertrauen, klicken Sie auf „Yes“, um den Schlüssel zum PuTTY-Cache hinzuzufügen und die Verbindung fortzusetzen. Wenn Sie die Verbindung nur einmal fortsetzen möchten, ohne den Schlüssel zum Cache hinzuzufügen, klicken Sie auf „No“. Wenn Sie diesem Host nicht vertrauen, klicken Sie auf „Cancel“, um die Verbindung abzubrechen.

     Klicken Sie auf Ja
3. Melden Sie sich beim System an. Wenn Sie zum ersten Mal eine Verbindung zum Data Domain-System herstellen und das Nutzerkennwort für „sysadmin“ nicht geändert wurde:
   • Der Nutzername lautet: sysadmin
   • Das Kennwort ist die Seriennummer 180583 des Systems.

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Auf einem Linux- oder UNIX-System

1. Erzeugen Sie einen SSH-Schlüssel.
   #### Der empfohlene Schlüsseltyp und der einzige, der mit DDOS 6.0 und höher funktioniert, ist „rsa“.

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Schlüssel vom Typ „dsa“ funktionieren auch unter DDOS 5.7 oder früher, dieser Schlüsseltyp wird jedoch nicht mehr empfohlen

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   Die DDOS-Befehlsreferenz besagt, dass Sie die Option „ d“ verwendeten sollten anstelle von „-t dsa.“ Beide funktionieren unter DDOS, aber „ d“ funktioniert mit vielen Linux-Distributionen nicht.

   Verwenden Sie die Option „blank passphrase“, um die Anforderung des Data Domain-Systemkennworts beim Ausführen von Skripten zu umgehen.

   Notieren Sie sich den Speicherort des neuen SSH-Schlüssels in der Befehlsausgabe vonssh-keygen“. Sie wird im $HOME-Verzeichnis des Nutzerkontos unterhalb von .ssh/ als Datei mit dem Namen id_rsa.pub gespeichert.

2. Fügen Sie den generierten Schlüssel zur Zugriffsliste für Data Domain-Systeme hinzu.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testen Sie die Funktionalität.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Sie können auch ein ganzes Skript mit Systembefehlen in einer Datei an das Gerät übergeben. Dazu wird ein Befehl ausgeführt, der auf die bestimmte Datei verweist, die die Liste der Befehle enthält:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Auf diese Weise können Operator eine Liste von Befehlen auf einem Remotehost erstellen und sie dann alle gleichzeitig über SSH ausführen.

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Windows-Systeme (PuTTY)

1. Installieren Sie die SSH-PuTTY-Tools: PuTTY, PuTTYgen und Pageant auf dem Windows-System

2. Erstellen Sie eine PuTTY-Sitzung.

   1. Starten Sie PuTTY, das PuTTY-Konfigurationstool.
   2. Speichern Sie eine Sitzung mit der IP-Adresse des Data Domain-Systems.
      1. Wählen Sie im Dialogfeld der PuTTY-Konfiguration Category>Session aus.
      2. Wählen Sie die Schaltfläche SSH aus.
      3. Geben Sie die IP-Adresse des Data Domain-Systems in die Felder „Host Name“ und „Saved Sessions“ ein. Zum Beispiel: 168.192.2.3
      4. Klicken Sie auf Save.
         

3. Geben Sie den Nutzernamen für die automatische Anmeldung ein.

   1. Wählen Sie im Dialogfeld der PuTTY-Konfiguration Category > Connection > Data aus.
   2. Geben Sie den Administratornutzernamen in das Feld „Auto-login username“ ein. Zum Beispiel:
      sysadmin
   3. Klicken Sie auf Save.

4. Erstellen Sie einen PuTTY-Schlüssel.

   1. Starten Sie PuTTYgen, das PuTTY Key Generator-Tool.
      
   2. Erzeugen Sie öffentliche und private Schlüssel mit dem PuTTY Key Generator-Tool.
      1. Erzeugen Sie eine gewisse Zufälligkeit, indem Sie den Mauszeiger über den leeren Bereich im Feld Schlüssel bewegen.
         Der öffentliche Schlüssel zum Einfügen in die OpenSSH-Datei authorized_keys wird mit zufälligen Zeichen gefüllt.
         Das Feld „Key fingerprint“ wird mit Referenzwerten gefüllt.
      2. Erstellen Sie eine Schlüsselkennung Geben Sie im Feld „Key comment“ einen identifizierenden Schlüsselnamen ein, z. B.:
         admin_name@company.com
      3. Lassen Sie die Felder „Key passphrase“ und „Confirm passphrase“ leer.
         Verwenden Sie die Option „blank passphrase“, um die Anforderung des Data Domain-Systemkennworts beim Ausführen von Skripten zu umgehen.
      4. Klicken Sie auf „Save public key“.
      5. Klicken Sie auf „Save private key“.
         Notieren Sie sich den Pfad zur gespeicherten Schlüsseldatei. Beispiel für den Schlüsseldateinamen:
         DataDomain_private_key.ppk
   3. Kopieren Sie den zufällig generierten PuTTY-Schlüssel.
      Wählen Sie den gesamten Text im Feld „Public Key“ zum Einfügen in die OpenSSH-Datei authorized_keys aus.
      

5. Fügen Sie den Schlüssel in der Befehlszeile des Data Domain-Systems hinzu.

   1. Öffnen Sie eine Data Domain-Systemeingabeaufforderung.
   2. Fügen Sie den SSH-Administrationszugriffsschlüssel hinzu. Geben Sie in die Eingabeaufforderung Folgendes ein:

      adminaccess add ssh-keys

   3. Fügen Sie den zufällig generierten Schlüssel aus dem Feld „PuTTYgen“ ein. Verwenden Sie mit der rechten Maustaste die Option > Einfügen.
   4. Schließen Sie den Befehl ab, drücken Sie STRG+D.
      

6. Verbinden Sie den Schlüssel mit PuTTY.

   1. Wählen Sie im PuTTY-Konfigurationstool die Option Connection > SSH > Auth aus.
   2. Kontrollkästchen Attempt authentication using Pageant.
   3. Kontrollkästchen Attempt keyboard-interactive auth (SSH-2)
   4. Klicken Sie in der Datei mit dem privaten Schlüssel für das Feld „authentication“ auf Browse.
   5. Navigieren Sie zum PuTTY-Schlüssel, der in Schritt 3 generiert und gespeichert wurde. Beispiel: DataDomain_private_key.ppk
   6. Speichern Sie die Einstellungen und klicken Sie auf Save.
      

7. Öffnen Sie die Sitzung.

   1. Wählen Sie im Dialogfeld der PuTTY-Konfiguration Category>Session aus.
   2. Klicken Sie auf Open.
      Eine Windows-Befehlszeile wird geöffnet. Die PuTTY-Sitzung wird geöffnet.
      Verwenden Sie den Nutzernamen „sysadmin“ Data Domain-Betriebssystemauthentifizierung mit öffentlichem Schlüssel

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #