Použití protokolu SSH (SSH) pro přihlášení ke vzdálenému systému Data Domain bez zadání hesla

SSH je síťový protokol, který umožňuje výměnu dat pomocí zabezpečeného kanálu mezi dvěma síťovými zařízeními. SSH byl navržen jako náhrada za Telnet protol, protože Telnet nebyl schopen chránit data před útoky typu "man in the middle". Šifrování používané protokolem SSH zajišťuje důvěrnost a integritu dat v nezabezpečené síti, například na internetu.

Kvůli pohodlnější správě, snadné správě a integraci do jiných produktů (například DELL EMC DPA) může být nutné k systému DD přistupovat programově, aniž by správce pokaždé zadával heslo nebo nezabezpečené uložení hesla do nějakého textového souboru. Zde přichází na řadu ověřování pomocí klíče SSH.

Požadavky na SSH

• Počítač s nainstalovaným klientem SSH (například OpenSSH nebo PuTTY)
• Připojení k síti IP pomocí portu TCP 22
• Povolen server SSH a naslouchá na portu TCP 22 (toto je výchozí nastavení pro systém Data Domain)
• Otestujte, zda se můžete na začátku připojit ke vzdálenému systému DD přes SSH pomocí uživatelského jména a hesla:

1. Spusťte klientský software SSH na vzdáleném systému.
2. Nakonfigurujte klienta SSH pro připojení pomocí názvu hostitele systému Data Domain nebo IP adresy.
   • Pokud používáte PuTTY, ponechte výchozí port (22) a klikněte na možnost: "Otevři."
   • Pokud se připojujete poprvé, zobrazí se zpráva, která vypadá nějak takto:

     Klíč hostitele serveru není uložen v mezipaměti registru. Nemáte žádnou záruku, že server je počítač, za který se považujete. Otisk klíče rsa2 serveru je: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Pokud tomuto hostiteli důvěřujete, stiskněte Ano, přidejte klíč do mezipaměti výstupu a pokračujte v připojení. Pokud chcete pokračovat v připojování pouze jednou, aniž byste přidali klíč do mezipaměti, stiskněte Ne. Pokud tomuto hostiteli nedůvěřujete, kliknutím na tlačítko Storno připojení ukončete.

     Klikněte na tlačítko Yes.
3. Přihlaste se k systému. Pokud se připojujete k systému Data Domain poprvé a heslo uživatele "sysadmin" nebylo změněno:
   • Uživatelské jméno je: sysadmin
   • Heslo je sériové číslo 180583 systému

Konfigurace systému pro přihlášení bez použití hesla: V systémech Linux nebo UNIX

1. Vygenerujte klíč SSH.
   #### Doporučený typ klíče je "rsa" a jako jediný funguje se systémem DDOS 6.0 a novějším

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Klávesy typu "dsa" budou fungovat také v systému DDOS 5.7 nebo starším, tento typ klíče se však již nedoporučuje

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   V referenci příkazů DDOS je uvedeno, že se má použít " d" místo "-t dsa.“ Oba budou fungovat na DDOS, ale " d" nefunguje na mnoha distribucích Linuxu.

   Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo k systému Data Domain při spouštění skriptů.

   Poznamenejte si umístění nového klíče SSH na "ssh-keygen" výstup příkazu. Je uložen v adresáři $HOME uživatele pod příponou .ssh/ jako soubor s názvem id_rsa.pub.

2. Přidejte vytvořený klíč do seznamu přístupu k systémům Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Otestujte funkčnost.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Zařízení můžete také předat celý skript systémových příkazů v souboru. To lze provést spuštěním příkazu, který odkazuje na konkrétní soubor obsahující seznam příkazů:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

To umožňuje operátorovi vytvořit seznam příkazů na vzdáleném hostiteli a poté je spustit všechny najednou přes SSH.

Konfigurace systému pro přihlášení bez použití hesla: Systémy Windows (PuTTY)

1. Nainstalujte nástroje SSH PuTTY: PuTTY, PuTTYgen a Pageant v systému Windows

2. Vytvořte relaci PuTTY.

   1. Spusťte PuTTY, konfigurační nástroj PuTTY.
   2. Uložte relaci s IP adresou systému Data Domain.
      1. V dialogovém okně Konfigurace výstupu vyberte Relace kategorie>.
      2. Vyberte tlačítko SSH .
      3. Zadejte IP adresu systému Data Domain do pole Název hostitele a do pole Uložené relace. Například: 168.192.2.3
      4. Klikněte na tlačítko Uložit.
         

3. Zadejte uživatelské jméno pro automatické přihlášení.

   1. V dialogovém okně Konfigurace výstupu vyberte Datapřipojení>kategorie>.
   2. Do pole Auto-login username zadejte uživatelské jméno správce. Například:
      sysadmin
   3. Klikněte na tlačítko Uložit.

4. Vytvořte klíč PuTTY.

   1. Spusťte PuTTYgen, nástroj Generátor klíčů PuTTY.
      
   2. Vygenerujte veřejné a soukromé klíče pomocí nástroje Generátor klíčů PuTTY.
      1. Vygenerujte určitou náhodnost přesunutím kurzoru nad prázdnou oblast v poli Klíč.
         Veřejný klíč pro vložení do souboru OpenSSH authorized_keys se zaplní náhodnými znaky.
         Pole Klíčový otisk se vyplní referenčními hodnotami.
      2. Vytvořte identifikátor klíče do pole Komentář ke klíči a zadejte identifikační název klíče, například:
         admin_name@company.com
      3. Pole Key Passphrase a Confirm Passphrase ponechte prázdná.
         Pomocí prázdné přístupové fráze můžete obejít požadavek na heslo k systému Data Domain při spouštění skriptů.
      4. Klikněte na možnost Uložit veřejný klíč.
      5. Klikněte na Uložit soukromý klíč.
         Poznamenejte si cestu k uloženému souboru klíče. Příklad názvu souboru klíče:
         DataDomain_private_key.ppk
   3. Zkopírujte náhodně vygenerovaný klíč PuTTY.
      Vyberte veškerý text v poli Veřejný klíč pro vložení do souboru OpenSSH authorized_keys.
      

5. Přidejte klíč do příkazového řádku systému Data Domain.

   1. Otevřete příkazový řádek systému Data Domain.
   2. Přidejte přístupový klíč SSH pro správu. Do příkazového řádku zadejte:

      adminaccess add ssh-keys

   3. Vložte náhodně vygenerovaný klíč z pole PuTTYgen. Pomocí myši klikněte pravým tlačítkem > myši na možnost Vložit.
   4. Dokončete příkaz stisknutím kláves CTRL+D.
      

6. Připojte klíč k PuTTY.

   1. V nástroji pro konfiguraci výstupu vyberte Připojení>>SSH Auth.
   2. Zaškrtněte políčko Pokus o ověření pomocí Pageant.
   3. Zaškrtávací políčko Pokus o interaktivní ověření klávesnice (SSH-2)
   4. V souboru privátního klíče pro ověřovací pole klikněte na tlačítko Procházet.
   5. Přejděte ke klíči PuTTY vygenerovanému a uloženému v kroku 3. Například DataDomain_private_key.ppk
   6. Uložte nastavení, klikněte na tlačítko Uložit.
      

7. Otevřete relaci.

   1. V dialogovém okně Konfigurace výstupu vyberte Relace kategorie>.
   2. Klikněte na možnost Otevřít.
      Otevře se příkazový řádek systému Windows. Otevře se relace PuTTY.
      Použití uživatelského jména sysadmin Data Domain OS Ověřování pomocí veřejného klíče

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #