Использование SSH (SSH) для входа в удаленный Data Domain без ввода пароля

SSH — это сетевой протокол, который позволяет обмениваться данными по защищенному каналу между двумя сетевыми устройствами. SSH был разработан в качестве замены Telnet protol из-за неспособности Telnet защитить данные от атак типа «человек посередине». Шифрование, используемое SSH, обеспечивает конфиденциальность и целостность данных в небезопасной сети, например в Интернете.

Для удобства, простоты администрирования и интеграции с другими продуктами (например, DELL EMC DPA) может потребоваться программный доступ к DD, при котором администратор не вводит пароль каждый раз или небезопасно сохраняет пароль в каком-либо текстовом файле. Именно здесь на помощь приходит проверка подлинности ключа SSH.

Требования к SSH

• Компьютер с установленным клиентом SSH (например, OpenSSH или PuTTY)
• Подключение к IP-сети с помощью порта TCP 22
• Сервер SSH включен и прослушивает TCP-порт 22 (это значение по умолчанию для системы Data Domain)
• Сначала можно подключиться к удаленному DD по протоколу SSH, используя имя пользователя и пароль:

1. Запустите клиентское программное обеспечение SSH в удаленной системе.
2. Настройте клиент SSH для подключения с использованием имени хоста или IP-адреса системы Data Domain.
   • При использовании PuTTY оставьте порт по умолчанию (22) и нажмите: — Открыть.
   • При первом подключении появится сообщение, выглядящее примерно так:

     Ключ хоста сервера не кэшируется в реестре. Вы не можете гарантировать, что сервер является именно тем компьютером, за который вы себя принимаете. Отпечаток ключа rsa2 сервера: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Если вы доверяете этому хосту, нажмите Yes, чтобы добавить ключ в кэш PuTTY и продолжить подключение. Если вы хотите продолжить подключение только один раз, не добавляя ключ в кэш, нажмите кнопку Нет. Если вы не доверяете этому хосту, нажмите Cancel, чтобы разорвать подключение.

     Нажмите Yes.
3. Выполните вход в систему. При первом подключении к системе Data Domain пароль пользователя «sysadmin» не изменен:
   • Имя пользователя: sysadmin
   • Пароль представляет собой серийный номер 180583 системы

Настройка системы для входа в систему без использования пароля: В системе Linux или UNIX

1. Создайте ключ SSH.
   #### Рекомендуемый тип ключа — «rsa», и только он работает с DDOS 6.0 и более поздних версий

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Ключи типа «dsa» также будут работать в DDOS 5.7 или более ранней версии, однако этот тип ключей больше не рекомендуется

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   В справочнике по командам DDOS сказано, что для использования команды « d" вместо "-t dsa». Любой из них будет работать на DDOS, но " d" не работает во многих дистрибутивах Linux.

   Используйте пустую парольную фразу, чтобы обойти требование системного пароля Data Domain при выполнении сценариев.

   Обратите внимание на расположение нового ключа SSH на странице «ssh-keygen" вывод команды. Он хранится в каталоге $HOME пользователя под .ssh/ в виде файла с именем id_rsa.pub.

2. Добавьте созданный ключ в список доступа к системам Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Протестируйте функционал.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Вы также можете передать на устройство целый сценарий системных команд в файле. Это можно сделать, выполнив команду, указывающую на конкретный файл, содержащий список команд:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Это позволяет оператору создать список команд на удаленном хосте, а затем выполнить их все одновременно по протоколу SSH.

Настройка системы для входа в систему без использования пароля: Системы Windows (PuTTY)

1. Установите инструменты SSH PuTTY. PuTTY, PuTTYgen и Pageant в системе Windows

2. Создайте сеанс PuTTY.

   1. Запустите PuTTY, инструмент настройки PuTTY.
   2. Сохраните сессию, указав IP-адрес системы Data Domain.
      1. В диалоговом окне «Конфигурация PuTTY» выберите Категория>Сессия.
      2. Нажмите кнопку SSH .
      3. Введите IP-адрес системы Data Domain в поля Имя хоста и Сохраненные сессии. Пример. 168.192.2.3
      4. Нажмите Save.
         

3. Введите имя пользователя для автоматического входа.

   1. В диалоговом окне «PuTTY Configuration» выберите «Category>Connection>Data».
   2. Введите имя администратора в поле Имя пользователя для автоматического входа. Пример.
      sysadmin
   3. Нажмите Save.

4. Создайте ключ PuTTY.

   1. Запустите PuTTYgen, генератор ключей PuTTY.
      
   2. Создайте открытый и закрытый ключи с помощью генератора ключей PuTTY.
      1. Создайте некоторую случайность, наведя курсор на пустую область в поле «Ключ».
         Открытый ключ для вставки в файл OpenSSH authorized_keys заполняется случайными символами.
         Поле «Отпечаток ключа» заполняется справочными значениями.
      2. Создайте идентификатор ключа В поле Комментарий к ключу введите идентифицирующее имя ключа, например:
         admin_name@company.com
      3. Оставьте поля «Ключевая парольная фраза» и «Подтверждение парольной фразы» пустыми.
         Используйте пустую парольную фразу, чтобы обойти требование системного пароля Data Domain при выполнении сценариев.
      4. Нажмите Сохранить открытый ключ.
      5. Нажмите Сохранить закрытый ключ.
         Запишите путь к сохраненному файлу ключа. Пример имени файла ключа:
         DataDomain_private_key.ppk
   3. Скопируйте случайно сгенерированный ключ PuTTY.
      Выделите весь текст в поле Public key для вставки в файл OpenSSH authorized_keys.
      

5. Добавьте ключ в командной строке системы Data Domain.

   1. Откройте командную строку системы Data Domain.
   2. Добавьте административный ключ доступа SSH. В командной строке введите:

      adminaccess add ssh-keys

   3. Вставьте случайно сгенерированный ключ из поля PuTTYgen. Щелкните правой кнопкой мыши > по параметру «Вставить».
   4. Выполните команду, нажмите CTRL+D.
      

6. Прикрепите ключ к PuTTY.

   1. В инструменте PuTTY Configuration tool выберите Connection>SSH>Auth.
   2. Установите флажок Попытаться аутентификацию с помощью Pageant.
   3. Флажок Попытка интерактивной проверки подлинности с клавиатуры (SSH-2)
   4. В поле Файл закрытого ключа для поля проверки подлинности нажмите Обзор.
   5. Перейдите к ключу PuTTY, созданному и сохраненному на шаге 3. Например, DataDomain_private_key.ppk
   6. Сохраните настройки и нажмите кнопку Сохранить.
      

7. Откройте сессию.

   1. В диалоговом окне «Конфигурация PuTTY» выберите Категория>Сессия.
   2. Нажмите Открыть.
      Откроется командная строка Windows. Откроется сеанс PuTTY.
      Использование имени пользователя sysadmin Data Domain OS. Аутентификация с использованием открытого ключа

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #