Brug af SSH (SSH) til at logge på et eksternt Data Domain uden at angive en adgangskode

SSH er en netværksprotokol, der gør det muligt at udveksle data ved hjælp af en sikker kanal mellem to netværksenheder. SSH blev designet som en erstatning for Telnet-protolen på grund af Telnets manglende evne til at beskytte data mod "mand i midten" angreb. Den kryptering, der bruges af SSH, giver fortrolighed og integritet af data over et usikkert netværk, såsom internettet.

For nemheds skyld, nem administration og integration i andre produkter (f.eks. DELL EMC DPA) kan det være nødvendigt at få adgang til en DD via programmering, uden at en administrator giver en adgangskode hver gang, eller at adgangskoden gemmes på en usikker måde i en tekstfil. Det er her SSH-nøglegodkendelse kommer på plads.

SSH-krav

• En computer med en SSH-klient installeret (såsom OpenSSH eller PuTTY)
• IP-netværksforbindelse ved hjælp af TCP-port 22
• SSH-server aktiveret og lytter på TCP-port 22 (dette er standard for Data Domain-systemet)
• Test, at du først kan oprette forbindelse til ekstern DD via SSH ved hjælp af et brugernavn og en adgangskode:

1. Kør SSH-klientsoftwaren på fjernsystemet.
2. Konfigurer SSH-klienten til at oprette forbindelse ved hjælp af Data Domain-systemets værtsnavn eller IP-adresse.
   • Hvis du bruger PuTTY, skal du forlade standardporten (22) og klikke på: "Åben."
   • Hvis du opretter forbindelse for første gang, vises en meddelelse, der ser nogenlunde sådan ud:

     Serverens værtsnøgle cachelagres ikke i registreringsdatabasen. Du har ingen garanti for, at serveren er den computer, du tror, den er. Serverens rsa2-nøglefingeraftryk er: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Hvis du stoler på denne vært, skal du trykke på Ja for at tilføje nøglen til PuTTYs cache og fortsætte med at oprette forbindelse. Hvis du kun vil fortsætte med at oprette forbindelse én gang uden at tilføje nøglen til cachen, skal du trykke på Nej. Hvis du ikke stoler på denne vært, skal du trykke på Annuller for at opgive forbindelsen.

     Klik på Ja
3. Log på systemet. Hvis du opretter forbindelse til Data Domain-systemet for første gang, og brugeradgangskoden for "sysadmin" ikke er blevet ændret:
   • Brugernavn er: sysadmin
   • Adgangskoden er systemets serienummer 180583

Konfiguration af systemet til at logge på uden brug af adgangskode: På et Linux- eller UNIX-system

1. Generer en SSH-nøgle.
   #### Den anbefalede nøgletype er "rsa", og den er den eneste, der fungerer med DDOS 6.0 og nyere

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Taster af typen "dsa" fungerer også på DDOS 5.7 eller tidligere, men denne nøgletype anbefales ikke længere

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   DDOS Command Reference siger at bruge " d" i stedet for "-t dsa." Begge vil arbejde på DDOS, men " d" virker ikke på mange Linux-distributioner.

   Brug indstillingen tom adgangssætning til at omgå kravet om Data Domain-systemadgangskode, når du kører scripts.

   Bemærk placeringen af den nye SSH-nøgle på "ssh-keygen" kommando output. Den er gemt under brugerens $HOME mappe under .ssh/ som en fil med navnet id_rsa.pub.

2. Føj den genererede nøgle til Data Domain-systemadgangslisten.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Test funktionalitet.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Du kan også overføre et helt script med systemkommandoer i en fil til enheden. Dette gøres ved at køre en kommando for at pege på den specifikke fil, der indeholder listen over kommandoer:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Dette gør det muligt for en operatør at oprette en liste over kommandoer på en fjernvært og derefter køre dem alle på én gang over SSH.

Konfiguration af systemet til at logge på uden brug af adgangskode: Windows-systemer (PuTTY)

1. Monter SSH PuTTY-værktøjerne: PuTTY, PuTTYgen og Pageant på Windows-systemet

2. Opret en PuTTY-session.

   1. Start PuTTY, PuTTY-konfigurationsværktøjet.
   2. Gem en session med Data Domain-systemets IP-adresse.
      1. I dialogboksen PuTTY-konfiguration skal du vælge Kategorisession>.
      2. Vælg knappen SSH .
      3. Indtast Data Domain-systemets IP-adresse i feltet Værtsnavn og Gemte sessioner. F.eks.: 168.192.2.3
      4. Klik på Gem.
         

3. Indtast brugernavn til automatisk login.

   1. I dialogboksen PuTTY-konfiguration skal du vælge kategorien>Forbindelsesdata>.
   2. Indtast administratorbrugernavnet i feltet Brugernavn til automatisk login. F.eks.:
      Sysadmin
   3. Klik på Gem.

4. Opret en PuTTY-nøgle.

   1. Start PuTTYgen, PuTTY Key Generator værktøj.
      
   2. Generer offentlige og private nøgler ved hjælp af PuTTY Key Generator-værktøjet.
      1. Generer lidt tilfældighed ved at flytte markøren over det tomme område i feltet Nøgle.
         Den offentlige nøgle til indsættelse i OpenSSH-authorized_keys filen udfyldes med tilfældige tegn.
         Feltet Nøglefingeraftryk udfyldes med referenceværdier.
      2. Opret et nøgle-id Skriv et identificerende nøglenavn i feltet Nøglekommentar, f.eks.:
         admin_name@company.com
      3. Lad felterne Nøgleadgangsudtryk og Bekræft adgangsudtryk være tomme.
         Brug indstillingen tom adgangssætning til at omgå kravet om Data Domain-systemadgangskode, når du kører scripts.
      4. Klik på Gem offentlig nøgle.
      5. Klik på Gem privat nøgle.
         Bemærk stien til den gemte nøglefil. Eksempel på nøglefilnavn:
         DataDomain_private_key.ppk
   3. Kopier den tilfældigt genererede PuTTY-nøgle.
      Vælg al teksten i feltet, Offentlig nøgle til indsættelse i OpenSSH authorized_keys filen.
      

5. Tilføj nøglen i Data Domain-systemets kommandolinje.

   1. Åbn en Data Domain-systemkommandoprompt.
   2. Tilføj den administrative SSH-adgangsnøgle. Skriv følgende på kommandolinjen:

      adminaccess add ssh-keys

   3. Indsæt den tilfældigt genererede nøgle fra PuTTYgen-feltet. Brug musen Højreklik på > indstillingen Indsæt.
   4. Fuldfør kommandoen, tryk på CTRL+D.
      

6. Fastgør nøglen til PuTTY.

   1. Fra PuTTY-konfigurationsværktøjet skal du vælge Connection>SSH>Auth.
   2. Marker afkrydsningsfeltet Forsøg på godkendelse ved hjælp af Pageant.
   3. Afkrydsningsfelt Forsøg på tastaturinteraktiv godkendelse (SSH-2)
   4. I filen Privat nøgle til godkendelsesfeltet skal du klikke på Gennemse.
   5. Gå til PuTTY-nøglen, der blev genereret og gemt i trin 3. F.eks. DataDomain_private_key.ppk
   6. Gem indstillinger, klik på Gem.
      

7. Åbn sessionen.

   1. I dialogboksen PuTTY-konfiguration skal du vælge Kategorisession>.
   2. Klik på Åbn.
      En Windows-kommandolinje åbnes. PuTTY-sessionen åbnes.
      Brug af brugernavn sysadmin Data Domain OS-godkendelse med offentlig nøgle

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #