Data Domain: DD Boost global autentisering och kryptering

Summary: Den här artikeln innehåller information om DD Boost global autentisering och kryptering som hämtas från den senaste uppdaterade informationen från DD OS 7.13 Boost-dokumentationen. I den här guiden ser "PowerProtect DD-systemet", "skyddssystemet" eller helt enkelt "systemet" enheter i PowerProtect DD-serien som kör DD OS 7.4 eller senare och tidigare PowerProtect DD-system. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Boost-kryptering och autentisering är beroende av klientkompatibilitet. Läs informationen och tabellerna nedan.
Du kan ange autentiserings- och krypteringsinställningar på tre sätt, som beskrivs längre fram i det här dokumentet.

Så här återställer du den globala krypteringsstyrkan och rensar fel i Dell Data Domain.

Längd: 00:03:32 (hh:mm:ss)
Om det är möjligt kan du välja språkinställningar för dold textning (undertexter) med hjälp av CC-ikonen i videospelaren.

Kryptering
under arbeteMed kryptering under arbete kan program kryptera säkerhetskopiering under arbete eller återställa data över LAN från skyddssystemet. Den här funktionen introducerades för att erbjuda en säkrare datatransportkapacitet.
När den är konfigurerad kan klienten använda TLS för att kryptera sessionen mellan klienten och skyddssystemet. Den specifika chiffersvit som används är följande i tabellen nedan.

Den specifika chiffersvit som används är antingen ADH-AES256-SHA, om alternativet för hög kryptering är valt, eller ADHAES128-SHA, om alternativet för medelstor kryptering är valt.

DD Boost Client 3.3 till 7.0 och 7.5 efter 7.5

  DDOS 7.5 och senare
    Krypteringsmedel Kryptering hög
DD Boost Client 3.3 till 7.0 och DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Klient 7.5 och senare Envägs- eller tvåvägscertifikat DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 till 7.0 och 7.5 efter 7.5 (fortsättning)

  DDOS 7.4 och tidigare
    Krypteringsmedel Kryptering hög
DD Boost Client 3.3 till 7.0 och DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Klient 7.5 och senare Envägs- eller tvåvägscertifikat DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost-klient 7.1 till 7.4

  DDOS 7.5 och senare
DD Boost-klient 7.1 till 7.4   Krypteringsmedel Kryptering hög
ANON ADH-AES128-SHA ADH-AES256--SHA
Envägs- eller tvåvägscertifikat DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 till 7.4 (fortsättning)

  DDOS 7.4 och tidigare
DD Boost-klient 7.1 till 7.4   Krypteringsmedel Kryptering hög
ANON ADH-AES128-SHA ADH-AES256-- SHA
Envägs- eller tvåvägscertifikat DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

För DDOS 7.12 och senare är autentiseringslägetinget och krypteringsstyrkan är medel som standard för nya installationer.

De globala standardalternativen är bakåtkompatibla, vilket innebär:

  •  Du behöver inte uppdatera DD Boost-biblioteket. Alla befintliga klienter och program fungerar på samma sätt med standardinställningarna för de nya alternativen.
  • Klienter och program som använder certifikat med TLS (Transport Layer Security) kan fortsätta att fungera utan ändringar.

Global autentisering och kryptering
DD Boost erbjuder globala autentiserings- och krypteringsalternativ för att skydda system mot MITM-attacker
(man-in-the-middle).De globala alternativen säkerställer att nya klienter skyddas, men gör också att du kan konfigurera olika värden för varje klient. Dessutom kan klientinställningar bara stärka säkerheten, inte minska den.
Om du ställer in globalt autentiseringsläge och krypteringsstyrka upprättas miniminivåer för autentisering och kryptering. Alla anslutningsförsök av alla klienter måste uppfylla eller överskrida dessa nivåer.

Dessa mått är inte aktiverade som standard. Inställningarna måste ändras manuellt.

De globala standardalternativen är bakåtkompatibla, vilket innebär:

  • Du behöver inte uppdatera DD Boost-biblioteket.
    Alla befintliga klienter och program fungerar på samma sätt med standardinställningarna för de nya alternativen.
  • Prestandan påverkas inte eftersom kryptering inte läggs till.
  • Klienter och program som använder certifikat med TLS (Transport Layer Security) kan fortsätta att fungera utan ändringar.
    Om de globala inställningarna skiljer sig från standardinställningarna kan befintliga klienter behöva uppdateras.

Metoder för att ställa in autentisering och kryptering
Du kan ange autentiserings- och krypteringsinställningar på tre sätt.

  • Anslutningsbegäran
    Det gör du med hjälp av ddp_connect_with_config API i klientprogrammet.
  • Inställningar
    per klient Det gör du med hjälp av CLI-kommandon på skyddssystemet.
  • Globala inställningar
    Det gör du med hjälp av CLI-kommandon på skyddssystemet.

Om både värden per klient och globala värden anges tillämpas den starkare eller högre inställningen. Alla klienter som försöker ansluta med en svagare autentiserings- eller krypteringsinställning avvisas.

Autentiserings- och krypteringsinställningar
Du kan ta hänsyn till flera faktorer när du bestämmer inställningar för autentisering och kryptering. Vi rekommenderar dock att du alltid väljer inställningen Maximal tillgänglig för maximal säkerhet.
Maximal säkerhet påverkar prestandan. Om du har en kontrollerad miljö där maximal säkerhet inte krävs kanske du vill använda andra inställningar.

Globala inställningar
Den globala inställningen avgör miniminivåerna för autentisering och kryptering. Anslutningsförsök som inte uppfyller dessa kriterier misslyckas.

Inställningar
per klientOm inställningen definieras per klient måste den inställning du väljer antingen matcha eller vara större än den maximala autentiseringsinställningen per klient och den maximala inställningen för global autentisering.
Till exempel:

  • Om en klient är konfigurerad för att kräva two-way password autentisering och inställningen global autentisering är two-way TLSSedan two-way TLS autentisering måste användas.
  • Om klienten är konfigurerad med autentiseringsinställningen two-way TLS och den globala miljön är two-way passwordsSedan two-way TLS användas.

Värden
som anges av anroparenOm de värden som anroparen har angett är lägre än de globala inställningarna eller inställningarna per klient tillåts inte anslutningen. Men om de värden som anges av anroparen är högre än de globala inställningarna eller inställningarna per klient görs anslutningen med hjälp av de värden som anroparen har angett.
Om anroparen till exempel anger two-way-password Men antingen är det globala värdet eller värdet per kund two-waymisslyckas anslutningsförsöket. Men om anroparen angav two-way och de globala värdena och värdena per kund är two-way-password, two-way autentisering används.

Autentiserings- och krypteringsalternativ
Du kan välja en av tre tillåtna inställningar för både globala inställningar och autentiserings- och krypteringsinställningar
.För inställningarna per klient tillåts fem autentiseringsinställningar och tre krypteringsinställningar (samma krypteringsinställningar som för global).

Autentiserings- och krypteringsvärden måste anges samtidigt på grund av beroenden.

Globala alternativ för
autentisering och krypteringDet finns flera alternativ med alternativen global-authentication-mode och global-encryption-strength.

Autentiseringsinställningar
I följande lista rangordnas autentiseringsvärden från svagaste till starkaste:

  1. none
    Inte säker; Det här är standardinställningen.

  2. anonymous
    Det här alternativet är inte säkert mot MITM-attacker.
    In-flight-data är krypterade.

  3. one-way
    Den här metoden kräver användning av certifikat.
    Detta är inte säkert mot MITM-attacker.
    In-flight-data är krypterade.

  4. two-way-password
    Det här alternativet är skyddat mot MITM-attacker.
    In-flight-data är krypterade.

  5. two-way
    Det här alternativet kräver att användaren av certifikat används.
    Detta är det säkraste alternativet och är säkert mot MITM-attacker.
    In-flight-data är krypterade.

Tänk på att anonymous och one-way tillåts endast för inställningar per klient, inte globala inställningar.

Krypteringsinställningar
I följande lista rangordnas krypteringsvärden från svagaste till starkaste:

  1. none
    Inte säker; Det här är standardinställningen.
    Kan endast anges om autentiseringen är "none".

  2. medium
    Använder AES 128 och SHA-1

  3. high
    Använder AES 256 och SHA-1

Både medium och high använd SHA-1 beroende på klientversion och autentiseringsläge. Mer information finns i tabellen In-flight Encryption (Kryptering under arbete).

Global autentisering
De tre alternativen för globalt autentiseringsläge erbjuder olika skyddsnivåer och bakåtkompatibilitet.
Globala autentiserings- och krypteringsvärden kan endast anges via CLI-kommandon (Command-Line Interface) på DD Boost-servern. De CLI-kommandon som du använder för att ange dessa värden beskrivs i följande avsnitt.

ingen

ddboost option set global-authentication-mode none
global-encryption-strength none

Det här är det minst säkra men mest bakåtkompatibla alternativet.
Du kan välja none om ditt system har avgörande prestandakrav och du inte behöver skydd mot MITM-attacker.
Systemet kan fungera på samma sätt som tidigare utan att drabbas av prestandaförsämring på grund av TLS.
Om du väljer en annan inställning för autentisering än nonekan krypteringsinställningen inte none.

Tvåvägslösenord

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Metoden med tvåvägslösenord utför tvåvägsautentisering med hjälp av TLS med PSK-autentisering (Pre-Shared Key). Både klienten och skyddssystemet autentiseras med hjälp av de tidigare fastställda lösenorden. När det här alternativet är markerat krypteras alla data och meddelanden mellan klienten och skyddssystemet.
Det här alternativet är det enda säkra alternativet som är tillgängligt med DD Boost för OpenStorage och skyddar helt mot MITM-attacker
(man-in-the-middle).Krypteringsstyrkan måste vara antingen medel eller hög.
Tvåvägslösenordsautentisering är unik eftersom det är den enda metoden som både är säker mot MITM och kan göras utan att anroparen anger den.

Dubbelriktad

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Detta är det säkraste alternativet.
Tvåvägsalternativet använder TLS med certifikat. Tvåvägsautentisering uppnås med hjälp av certifikat som tillhandahålls av programmet.
Den här inställningen är kompatibel med befintlig användning av certifikat. Ställa in global autentisering på two-way Kräver att alla program som ansluter till skyddssystemet ska stödja och tillhandahålla certifikat.
Alla program som inte stöder certifikat och som inte anger dubbelriktad autentisering och tillhandahåller certifikat via ddp_connect_with_config API:et misslyckas.

Alternativet för tvåvägsautentisering är inte tillgängligt med DD Boost för OpenStorage. Om det globala autentiseringsläget är inställt på two-waymisslyckas alla OST-program.

Scenarier
för bakåtkompatibilitetÄldre klient och nytt skyddssystem
I det här fallet används ett program som använder ett Boost-bibliotek med DDOS 6.1 eller senare. I det här scenariot kan klienten inte utföra tvåvägslösenordsautentisering, vilket har följande konsekvenser:

  • Alla globala autentiseringsinställningar måste anges till none eller two-way eftersom klienten inte kan utföra two-way-password Autentisering.
    Autentiseringsinställningar per klient kan vara vilket värde som helst utom two-way-password av samma anledning.
  • Globala inställningar eller inställningar per klient för tvåvägslösenord gör att program med äldre klientbibliotek misslyckas.
  • Det nya skyddssystemet har stöd för befintliga anslutningsprotokoll för gamla klienter.

Ny klient och äldre skyddssystem
Det äldre skyddssystemet kan inte prestera two-way-password autentisering, som har följande förgreningar:

  • Det finns inga globala autentiserings- eller krypteringsinställningar.
  • Autentiseringsinställningen för skyddssystem per klient kan inte vara two-way password.
  • Klienten försöker först använda det nya anslutningsprotokollet eller RPC. Vid fel återgår klienten till det gamla protokollet.
  • Klienten kan ansluta till andra autentiseringsmetoder förutom two-way-password.

Exempel på
autentiserings- och krypteringsinställningarI följande tabeller visas exempel där inställningar anges med hjälp av anrop, inställningar per klient och globala inställningar och om dessa inställningar kan lyckas.
I de här exemplen förutsätts att du har en DD Boost-klientanslutning till ett skyddssystem med DDOS 6.1 eller senare. De här exemplen gäller inte för någon av de situationer som beskrivs i scenarier för bakåtkompatibilitet.

Om den globala inställningen eller inställningen per klient kräver dubbelriktad autentisering måste anroparen ange den och ange nödvändiga certifikat.

En inställning

Anropet anger Inställningar per klient Globala inställningar Använda värden
Inget Inget Inget SUCCEEDS
Autentisering: ingen
Kryptering: ingen
Autentisering: tvåvägslösenord
Kryptering: medium		 Inget Inget SUCCEEDS Autentisering: tvåvägslösenord

Kryptering: medium
Inget Autentisering: tvåvägslösenord
Kryptering: medium		 Inget SUCCEEDS Autentisering: tvåvägslösenord

Kryptering: medium
Inget Inget Autentisering: tvåvägslösenord Kryptering: medium SUCCEEDS Autentisering: tvåvägslösenord

Kryptering: medium
Inget Inget Autentisering: tvåvägs
Kryptering: hög		 MISSLYCKAS
Tvåvägs och hög krävs.
Klienten måste ange en tvåvägskommunikation och tillhandahålla certifikat.
Autentisering: tvåvägs Kryptering: hög Inget Inget SUCCEEDS Autentisering: tvåvägskryptering

: hög

Flera inställningar

Anropet anger Inställningar per klient Globala inställningar Använda värden
Autentisering: tvåvägs
Kryptering: medium		 Inget Autentisering: tvåvägs
Kryptering: hög		 MISSLYCKAS Tvåvägs och hög krävs.
Inget Autentisering: tvåvägs
Kryptering: hög		 Autentisering: tvåvägslösenord
Kryptering: medium		 MISSLYCKAS Tvåvägs och hög krävs.
Klienten måste ange en tvåvägskommunikation och tillhandahålla certifikat.
Autentisering: tvåvägs
Kryptering: hög		 Autentisering: tvåvägslösenord
Kryptering: hög		 Autentisering: tvåvägs
Kryptering: medium		 SUCCEEDS Autentisering: tvåvägskryptering
: hög
Inget Autentisering: tvåvägslösenord
Kryptering: medium		 Autentisering: tvåvägs
Kryptering: medium		 MISSLYCKAS Tvåvägs och medium krävs.
Klienten måste ange en tvåvägskommunikation och tillhandahålla certifikat.
Autentisering: tvåvägs
Kryptering: hög		 Autentisering: tvåvägs
Kryptering: medium		 Autentisering: tvåvägs
Kryptering: medium		 SUCCEEDS Autentisering: tvåvägskryptering
: hög

 

Additional Information

Data Domain: Standardautentiseringsläget för DDBoost-klienter ger inte kryptering över tråden.
Data Domain – Hantera certifikat för DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 Mar 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.