SSHを使用してパスワードを指定せずにリモートData Domainにログインする方法

SSHは、2台のネットワーク デバイス間で安全なチャネルを使用してデータを交換できるようにするネットワーク プロトコルです。SSHは、Telnetが「中間者」攻撃からデータを保護できないため、Telnetプロトコルの代替として設計されました。SSHで使用される暗号化は、インターネットなどの安全でないネットワーク上のデータに機密性と整合性を提供します。

利便性を向上し、管理や他の製品（DELL EMC DPAなど）への統合を容易にするために、管理者が毎回パスワードを入力したり、一部のテキスト ファイルにパスワードを安全でない状態で保存したりすることなく、プログラムでDDにアクセスできる必要がある場合があります。そこで役に立つのがSSHキー認証です。

SSHの要件

• SSHクライアントがインストールされているコンピューター（OpenSSHやPuTTYなど）
• TCPポート22を使用したIPネットワーク接続
• SSHサーバーが有効化され、TCPポート22でリッスンしている（Data Domainシステムのデフォルト）
• ユーザー名とパスワードを使用して、SSH経由でリモートDDに接続できることをテストします。

1. リモート システムでSSHクライアント ソフトウェアを実行します。
2. Data Domainシステムのホスト名またはIPアドレスを使用して接続するようにSSHクライアントを構成します。
   • PuTTYを使用している場合は、デフォルトのポート(22)をそのまま使用して、［Open］をクリックします。
   • 初めて接続すると、次のようなメッセージが表示されます。

     「The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.」

     ［はい］をクリック
3. システムにログインします。Data Domainシステムに初めて接続し、「sysadmin」ユーザー パスワードが変更されていない場合：
   • ユーザー名：sysadmin
   • パスワード：システムのシリアル番号180583

パスワードを使用せずにログインするようにシステムを構成する方法（LinuxまたはUNIXシステムの場合）

1. SSHキーを生成します。
   #### 推奨されるキー タイプは「rsa」で、DDOS 6.0以降で動作する唯一のタイプです。

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### 「dsa」タイプのキーはDDOS 5.7以前でも機能しますが、このキー タイプは現在推奨されていません。

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   DDOSコマンド リファレンスには、「 d」オプションを「-t dsa」の代わりに使用するように記載されています。どちらもDDOSで作動しますが、「 d」は多くのLinuxディストリビューションでは機能しません。

   空白のパスフレーズ オプションを使用して、スクリプトの実行時にData Domainシステムのパスワード要件をバイパスします。

   新しいSSHキーの場所を「ssh-keygen」コマンドの出力で確認してメモします。これは、ユーザーの$HOMEディレクトリーの.ssh/の下に、「id_rsa.pub」という名前のファイルとして格納されます。

2. 生成されたキーをData Domainシステムのアクセス リストに追加します。

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. 機能をテストします。

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

また、システム コマンドのスクリプト全体をファイルでデバイスに渡すこともできます。これは、コマンドのリストを含む特定のファイルを指すコマンドを実行して行います。

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

これにより、オペレーターはリモート ホスト上でコマンドのリストを作成し、SSHを介してそれらを一括して実行することができます。

パスワードを使用せずにログインするようにシステムを構成する方法（Windowsシステム(PuTTY)）

1. SSH PuTTYツール：PuTTY、PuTTYgen、PageantをWindowsシステムにインストールします。

2. PuTTYセッションを作成します。

   1. PuTTY構成ツールであるPuTTYを起動します。
   2. Data DomainシステムのIPアドレスを使用してセッションを保存します。
      1. ［PuTTY Configuration］ダイアログ ボックスで、［Category］＞［Session］を選択します。
      2. ［SSH］ボタンを選択します。
      3. ［Host Name］フィールドと［Saved Sessions］フィールドに、Data DomainシステムのIPアドレスを入力します。例：168.192.2.3
      4. 「Save（保存）」をクリックします。
         

3. 自動ログイン ユーザー名を入力します。

   1. ［PuTTY Configuration］ダイアログ ボックスで、［Category］＞［Connection］＞［Data］を選択します。
   2. ［Auto-login username］フィールドに管理者ユーザー名を入力します。例：
      sysadmin
   3. 「Save（保存）」をクリックします。

4. PuTTYキーを作成します。

   1. PuTTYキー生成ツールである、PuTTYgenを起動します。
      
   2. PuTTY Key Generatorツールを使用して、公開キーとプライベート キーを生成します。
      1. ［Key］フィールドの空白領域でカーソルを動かして、ランダムな文字を生成します。
         ［Public key for pasting into the OpenSSH authorized_keys file］に、ランダムな文字が表示されます。
         ［Key fingerprint］フィールドに参照値が入力されます。
      2. ［Key comment］フィールドにキー識別子を作成し、識別キー名を入力します。例：
         admin_name@company.com
      3. ［Key passphrase］フィールドと［Confirm passphrase］フィールドは空白のままにします。
         空白のパスフレーズ オプションを使用して、スクリプトの実行時にData Domainシステムのパスワード要件をバイパスします。
      4. ［Save public key］をクリックします。
      5. ［Save private key］をクリックします。
         保存されたキー ファイルのパスをメモします。キー ファイル名の例：
         DataDomain_private_key.ppk
   3. ランダムに生成されたPuTTYキーをコピーします。
      ［Public key for pasting into the OpenSSH authorized_keys file］フィールド内のすべてのテキストを選択します。
      

5. Data Domainシステムのコマンド ラインにキーを追加します。

   1. Data Domainシステムのコマンド プロンプトを開きます。
   2. 管理SSHアクセス キーを追加します。コマンド プロンプトで、次のように入力します：

      adminaccess add ssh-keys

   3. PuTTYgenのフィールドからランダムに生成されたキーを貼り付けます。マウスの右クリックから貼り付けオプションを使用します。
   4. コマンドを完了させ、CTRL+Dを押します。
      

6. キーをPuTTYに追加します。

   1. ［PuTTY Configuration］ツールから、［Connection］＞［SSH］＞［Auth］を選択します。
   2. ［Attempt authentication using Pageant］チェックボックスをオンにします。
   3. ［Attempt keyboard-interactive auth (SSH-2)］チェックボックスをオンにします
   4. ［Private key file for the authentication］フィールドで、［Browse］をクリックします。
   5. 手順3で生成および保存したPuTTYキーを参照します。例：DataDomain_private_key.ppk
   6. 設定を保存し、［Save］をクリックします。
      

7. セッションを開きます。

   1. ［PuTTY Configuration］ダイアログ ボックスで、［Category］＞［Session］を選択します。
   2. [開く]をクリックします。
      Windowsコマンド ラインが開き、PuTTYセッションが開きます。
      ユーザー名「sysadmin」を使用して、公開キーでData Domain OSを認証します。

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #