Utilisation de SSH pour se connecter à un Data Domain distant sans fournir de mot de passe

SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH a été conçu pour remplacer le protocole Telnet en raison de l’incapacité de Telnet à protéger les données contre les attaques « man in the middle ». Le chiffrement utilisé par SSH assure la confidentialité et l’intégrité des données sur un réseau non sécurisé tel qu’Internet.

Pour des raisons de commodité, de facilité d’administration et d’intégration dans d’autres produits (tels que DELL EMC DPA), il est possible que vous deviez accéder à un DD par programmation sans demander à un administrateur de vous fournir un mot de passe à chaque fois, ou que vous deviez stocker le mot de passe de manière non sécurisée dans un fichier texte. C’est là que l’authentification par clé SSH entre en jeu.

Exigences SSH

• Un ordinateur sur lequel un client SSH est installé (par exemple OpenSSH ou PuTTY)
• Connectivité réseau IP via le port TCP 22
• Serveur SSH activé et écoute sur le port TCP 22 (par défaut pour le système Data Domain)
• Testez d’abord la connexion SSH au DD distant en utilisant un nom d’utilisateur et un mot de passe :

1. Exécutez le logiciel client SSH sur le système distant.
2. Configurez le client SSH pour qu’il se connecte à l’aide du nom d’hôte ou de l’adresse IP du système Data Domain.
   • Si vous utilisez PuTTY, laissez le port par défaut (22) et cliquez sur : « Open ».
   • Si vous vous connectez pour la première fois, un message similaire à celui-ci s’affiche :

     La clé d’hôte du serveur n’est pas mise en cache dans le registre. Vous n’avez aucune garantie que le serveur est celui que vous croyez. L’empreinte de clé rsa2 du serveur est la suivante : ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a. Si vous faites confiance à cet hôte, appuyez sur Oui pour ajouter la clé au cache PuTTY et poursuivre la connexion. Si vous souhaitez continuer à vous connecter sans ajouter la clé au cache, appuyez sur Non. Si vous ne faites pas confiance à cet hôte, cliquez sur Annuler pour abandonner la connexion.

     Cliquez sur Oui
3. Connectez-vous au système. Si vous vous connectez au système Data Domain pour la première fois et que le mot de passe de l’utilisateur « sysadmin » n’a pas été modifié :
   • Le nom d’utilisateur est : sysadmin
   • Le mot de passe est le numéro de série 180583 du système

Configuration du système pour se connecter sans utiliser de mot de passe : Sur un système Linux ou UNIX

1. Générez une clé SSH.
   #### Le type de clé recommandé est « rsa » et est le seul qui fonctionne avec DDOS 6.0 et versions ultérieures

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Les clés de type « dsa » fonctionneront également sur DDOS 5.7 ou une version antérieure. Cependant, ce type de clé n’est plus recommandé

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La référence des commandes DDOS indique d’utiliser l’option d » au lieu de « -t dsa. » Ces deux options fonctionnent sur DDOS, mais «  d » ne fonctionne pas sur de nombreuses distributions Linux.

   Utilisez l’option de phrase secrète vierge pour contourner la nécessité d’un mot de passe système Data Domain lors de l’exécution de scripts.

   Notez l’emplacement de la nouvelle clé SSH dans la sortie de la commande « ssh-keygen ». Elle est stockée dans le répertoire $HOME de l’utilisateur, sous .ssh/ sous forme de fichier nommé id_rsa.pub.

2. Ajoutez la clé générée à la liste d’accès des systèmes Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testez la fonctionnalité.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Vous pouvez également transmettre un script complet des commandes système dans un fichier à l’appareil. Pour ce faire, exécutez une commande pour pointer vers le fichier spécifique contenant la liste des commandes :

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Cela permet à un opérateur de créer une liste de commandes sur un hôte distant, puis de les exécuter toutes en même temps via SSH.

Configuration du système pour se connecter sans utiliser de mot de passe : Systèmes Windows (PuTTY)

1. Installez les outils SSH PuTTY : PuTTY, PuTTYgen et Pageant, sur le système Windows

2. Créez une session PuTTY.

   1. Démarrez PuTTY, l’outil de configuration PuTTY.
   2. Enregistrez une session avec l’adresse IP du système Data Domain.
      1. Dans la boîte de dialogue PuTTY Configuration, sélectionnez Category > Session.
      2. Sélectionnez le bouton SSH.
      3. Saisissez l’adresse IP du système Data Domain dans les champs Host Name et Saved sessions. Par exemple : 168.192.2.3
      4. Cliquez sur Save (Enregistrer).
         

3. Saisissez le nom d’utilisateur de connexion automatique.

   1. Dans la boîte de dialogue PuTTY Configuration, sélectionnez Category > Connection > Data.
   2. Saisissez le nom d’utilisateur de l’administrateur dans le champ Auto-login username. Par exemple :
      sysadmin
   3. Cliquez sur Save (Enregistrer).

4. Créez une clé PuTTY.

   1. Démarrez PuTTYgen, l’outil de génération de clé PuTTY.
      
   2. Générez des clés publiques et privées à l’aide de l’outil de génération de clé PuTTY.
      1. Pour générer de manière aléatoire, déplacez le curseur sur la zone vide du champ Key.
         La clé publique à coller dans le fichier authorized_keys OpenSSH est renseignée avec des caractères aléatoires.
         Le champ Key fingerprint est rempli avec des valeurs de référence.
      2. Créez un identifiant de clé dans le champ Key comment, saisissez un nom de clé d’identification, par exemple :
         admin_name@company.com
      3. Laissez les champs Key passphrase et Confirm passphrase vides.
         Utilisez l’option de phrase secrète vierge pour contourner la nécessité d’un mot de passe système Data Domain lors de l’exécution de scripts.
      4. Cliquez sur Save public key.
      5. Cliquez sur Save private key.
         Notez le chemin d’accès au fichier de clé enregistré. Exemple de nom de fichier de clé :
         DataDomain_private_key.ppk
   3. Copiez la clé PuTTY générée de manière aléatoire.
      Sélectionnez tout le texte dans le champ de clé publique en vue de le coller dans le fichier authorized_keys OpenSSH.
      

5. Ajoutez la clé dans la ligne de commande du système Data Domain.

   1. Ouvrez une invite de commande du système Data Domain.
   2. Ajoutez la clé d’accès SSH administrative. Dans la ligne de commande, saisissez :

      adminaccess add ssh-keys

   3. Collez la clé générée de manière aléatoire à partir du champ PuTTYgen. Cliquez avec le bouton droit de la souris sur > option Coller.
   4. Terminez la commande, appuyez sur CTRL+D.
      

6. Connectez la clé à PuTTY.

   1. Dans l’outil de configuration PuTTY, sélectionnez Connection > SSH > Auth.
   2. Cochez la case Attempt authentication using Pageant.
   3. Cochez la case Attempt keyboard-interactive auth (SSH-2).
   4. Dans le fichier de clé privée du champ d’authentification, cliquez sur Browse.
   5. Accédez à la clé PuTTY générée et enregistrée à l’étape 3. Par exemple, DataDomain_private_key.ppk
   6. Enregistrez les paramètres, cliquez sur Save.
      

7. Ouvrez la session.

   1. Dans la boîte de dialogue PuTTY Configuration, sélectionnez Category > Session.
   2. Cliquez sur Ouvrir.
      Une ligne de commande Windows s’ouvre. La session PuTTY s’ouvre.
      À l’aide du nom d’utilisateur sysadmin, Data Domain OS authentifie l’utilisateur en utilisant une clé publique.

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #