Verwenden von SSH (SSH) zum Anmelden bei einer Remote-Data Domain ohne Angabe eines Kennworts

SSH ist ein Netzwerkprotokoll, das den Datenaustausch über einen sicheren Kanal zwischen zwei vernetzten Geräten ermöglicht. SSH wurde als Ersatz für das Telnet-Programm entwickelt, da Telnet nicht in der Lage ist, Daten vor "Man-in-the-Middle"-Angriffen zu schützen. Die von SSH verwendete Verschlüsselung gewährleistet Vertraulichkeit und Integrität von Daten über ein unsicheres Netzwerk wie das Internet.

Aus Gründen der Bequemlichkeit, der einfachen Verwaltung und der Integration in andere Produkte (z. B. DELL EMC DPA) muss möglicherweise programmgesteuert auf ein DD-System zugegriffen werden, ohne dass ein Administrator jedes Mal ein Kennwort eingibt oder das Kennwort unsicher in einer Textdatei speichert. Hier kommt die SSH-Schlüsselauthentifizierung ins Spiel.

SSH-Anforderungen

• Ein Computer mit installiertem SSH-Client (z. B. OpenSSH oder PuTTY)
• IP-Netzwerkverbindung über TCP-Anschluss 22
• SSH-Server aktiviert und überwacht TCP-Anschluss 22 (dies ist die Standardeinstellung für das Data Domain-System)
• Testen Sie, ob Sie sich anfänglich über SSH mit einem Nutzernamen und einem Kennwort mit der Remote-DD verbinden können:

1. Führen Sie die SSH-Clientsoftware auf dem Remotesystem aus.
2. Konfigurieren Sie den SSH-Client so, dass eine Verbindung über den Hostnamen oder die IP-Adresse des Data Domain-Systems hergestellt wird.
   • Wenn Sie PuTTY verwenden, behalten Sie den Standardport (22) bei und klicken Sie auf: "Öffnen."
   • Wenn Sie zum ersten Mal eine Verbindung herstellen, wird eine Meldung angezeigt, die in etwa so aussieht:

     Der Hostschlüssel des Servers wird nicht in der Registrierung zwischengespeichert. Sie haben keine Garantie dafür, dass es sich bei dem Server um den Computer handelt, für den Sie ihn halten. Der rsa2-Schlüsselfingerabdruck des Servers lautet: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Wenn Sie diesem Host vertrauen, klicken Sie auf Ja, um den Schlüssel zum PuTTY-Cache hinzuzufügen und die Verbindung fortzusetzen. Wenn Sie die Verbindung nur einmal fortsetzen möchten, ohne den Schlüssel zum Cache hinzuzufügen, klicken Sie auf Nein. Wenn Sie diesem Host nicht vertrauen, klicken Sie auf "Abbrechen", um die Verbindung abzubrechen.

     Klicken Sie auf Ja
3. Melden Sie sich beim System an. Wenn Sie zum ersten Mal eine Verbindung zum Data Domain-System herstellen und das Nutzerkennwort "sysadmin" nicht geändert wurde:
   • Der Nutzername lautet: sysadmin
   • Das Kennwort ist die Seriennummer 180583 des Systems.

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Auf einem Linux- oder UNIX-System

1. Erzeugen Sie einen SSH-Schlüssel.
   #### Der empfohlene Schlüsseltyp ist "rsa" und ist der einzige, der mit DDOS 6.0 und höher funktioniert.

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Schlüssel vom Typ "dsa" funktionieren auch unter DDOS 5.7 oder früher, dieser Schlüsseltyp wird jedoch nicht mehr empfohlen

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   Die DDOS-Befehlsreferenz besagt, dass Sie " d" anstelle von "-t dsa.“ Beide funktionieren unter DDOS, aber " d" funktioniert nicht auf vielen Linux-Distributionen.

   Verwenden Sie die Option "blank passphrase", um die Anforderung des Data Domain-Systemkennworts beim Ausführen von Skripten zu umgehen.

   Notieren Sie sich den Speicherort für den neuen SSH-Schlüssel auf dem "ssh-keygen"-Befehlsausgabe. Sie wird im $HOME-Verzeichnis des Nutzers unterhalb von .ssh/ als Datei mit dem Namen id_rsa.pub gespeichert.

2. Fügen Sie den generierten Schlüssel zur Zugriffsliste für Data Domain-Systeme hinzu.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testfunktionalität.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Sie können auch ein ganzes Skript mit Systembefehlen in einer Datei an das Gerät übergeben. Dazu wird ein Befehl ausgeführt, der auf die bestimmte Datei verweist, die die Liste der Befehle enthält:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Auf diese Weise kann ein Operator eine Liste von Befehlen auf einem Remotehost erstellen und sie dann alle gleichzeitig über SSH ausführen.

Konfigurieren des Systems für die Anmeldung ohne Kennwort: Windows-Systeme (PuTTY)

1. Installieren Sie die SSH-PuTTY-Tools: PuTTY, PuTTYgen und Pageant auf dem Windows-System

2. Erstellen Sie eine PuTTY-Sitzung.

   1. Starten Sie PuTTY, das PuTTY-Konfigurationstool.
   2. Speichern Sie eine Sitzung mit der IP-Adresse des Data Domain-Systems.
      1. Wählen Sie im Dialogfeld PuTTY-Konfiguration die Kategorie>Sitzung aus.
      2. Wählen Sie die Schaltfläche SSH aus.
      3. Geben Sie die IP-Adresse des Data Domain-Systems in die Felder Hostname und Gespeicherte Sitzungen ein. Zum Beispiel: 168.192.2.3
      4. Klicken Sie auf Save.
         

3. Geben Sie den Nutzernamen für die automatische Anmeldung ein.

   1. Wählen Sie im Dialogfeld PuTTY-Konfiguration die Kategorie>Verbindungsdaten> aus.
   2. Geben Sie den Administratornutzernamen in das Feld Auto-login username ein. Zum Beispiel:
      sysadmin
   3. Klicken Sie auf Save.

4. Erstellen Sie einen PuTTY-Schlüssel.

   1. Starten Sie PuTTYgen, das PuTTY Key Generator-Tool.
      
   2. Erzeugen Sie öffentliche und private Schlüssel mit dem PuTTY Key Generator-Tool.
      1. Erzeugen Sie eine gewisse Zufälligkeit, indem Sie den Mauszeiger über den leeren Bereich im Feld Schlüssel bewegen.
         Der öffentliche Schlüssel zum Einfügen in die OpenSSH-authorized_keys Datei wird mit zufälligen Zeichen gefüllt.
         Das Feld Schlüsselfingerabdruck wird mit Referenzwerten gefüllt.
      2. Erstellen Sie eine Schlüsselkennung Geben Sie im Feld Key comment einen identifizierenden Schlüsselnamen ein, z. B.:
         admin_name@company.com
      3. Lassen Sie die Felder Schlüssel-Passphrase und Passphrase bestätigen leer.
         Verwenden Sie die Option "blank passphrase", um die Anforderung des Data Domain-Systemkennworts beim Ausführen von Skripten zu umgehen.
      4. Klicken Sie auf Save public key.
      5. Klicken Sie auf Save private key.
         Notieren Sie sich den Pfad zur gespeicherten Schlüsseldatei. Beispiel für einen Schlüsseldateinamen:
         DataDomain_private_key.ppk
   3. Kopieren Sie den zufällig generierten PuTTY-Schlüssel.
      Wählen Sie den gesamten Text im Feld Öffentlicher Schlüssel zum Einfügen in die OpenSSH-authorized_keys Datei aus.
      

5. Fügen Sie den Schlüssel in der Befehlszeile des Data Domain-Systems hinzu.

   1. Öffnen Sie eine Data Domain-Systemeingabeaufforderung.
   2. Fügen Sie den SSH-Administratorzugriffsschlüssel hinzu. Geben Sie in der Befehlszeile Folgendes ein:

      adminaccess add ssh-keys

   3. Fügen Sie den zufällig generierten Schlüssel aus dem Feld PuTTYgen ein. Verwenden Sie mit der rechten Maustaste die > Option Einfügen.
   4. Schließen Sie den Befehl ab, drücken Sie STRG+D.
      

6. Verbinden Sie den Schlüssel mit PuTTY.

   1. Wählen Sie im PuTTY-Konfigurationstool die Option Connection>SSH>Auth aus.
   2. Kontrollkästchen Authentifizierung mit Pageant versuchen.
   3. Kontrollkästchen Authentifizierung über Tastatur interaktiv (SSH-2) versuchen
   4. Klicken Sie in der Private key file für das Feld authentication auf Browse.
   5. Navigieren Sie zu dem PuTTY-Schlüssel, der in Schritt 3 generiert und gespeichert wurde. Beispiel: DataDomain_private_key.ppk
   6. Speichern Sie die Einstellungen und klicken Sie auf Speichern.
      

7. Öffnen Sie die Sitzung.

   1. Wählen Sie im Dialogfeld PuTTY-Konfiguration die Kategorie>Sitzung aus.
   2. Klicken Sie auf Open.
      Eine Windows-Befehlszeile wird geöffnet. Die PuTTY-Sitzung wird geöffnet.
      Verwenden des Nutzernamens sysadmin Data Domain-Betriebssystemauthentifizierung mit öffentlichem Schlüssel

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #