SSH(SSH)を使用して、パスワードを指定せずにリモートData Domainにログインする

SSHは、2台のネットワーク デバイス間で安全なチャネルを使用してデータを交換できるようにするネットワーク プロトコルです。SSHは、Telnetが「中間者」攻撃からデータを保護できないため、Telnetプロトコルの代替として設計されました。SSHで使用される暗号化は、インターネットなどの安全でないネットワークを介してデータの機密性と整合性を提供します。

利便性、管理の容易さ、他の製品(DELL EMC DPAなど)への統合のために、管理者が毎回パスワードを与えたり、一部のテキスト ファイルにパスワードを安全で保存したりすることなく、プログラムでDDにアクセスする必要がある場合があります。そこで登場するのがSSHキー認証です。

SSHの要件

• SSH クライアントがインストールされているコンピューター ( OpenSSH や PuTTY など)
• TCPポート22を使用したIPネットワーク接続
• SSHサーバーが有効化され、TCPポート22でリッスンしています(Data Domainシステムのデフォルト)
• ユーザー名とパスワードを使用して、SSH経由でリモートDDに最初に接続できることをテストします。

1. リモート システムでSSHクライアント ソフトウェアを実行します。
2. Data Domainシステムのホスト名またはIPアドレスを使用して接続するようにSSHクライアントを構成します。
   • PuTTYを使用している場合は、デフォルトのポート(22)をそのままにして、次をクリックします。「開けて」
   • 初めて接続すると、次のようなメッセージが表示されます。

     サーバーのホストキーはレジストリにキャッシュされません。サーバーが想定通りのコンピューターであるという保証はありません。サーバーのrsa2キーフィンガープリントは次のとおりです。 ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a このホストを信頼する場合は、[Yes]をクリックしてキーをPuTTYのキャッシュに追加し、接続を続行します。キーをキャッシュに追加せずに一度だけ接続を続ける場合は、[いいえ]をクリックします。このホストを信頼しない場合は、[キャンセル]をクリックして接続を放棄します。

     ［はい］をクリック
3. システムにログインします。Data Domainシステムに初めて接続し、「sysadmin」ユーザー パスワードが変更されていない場合は、次の手順を実行します。
   • ユーザー名: sysadmin
   • パスワードは、システムのシリアル番号 180583 です

パスワードを使用せずにログインするようにシステムを設定するには、次の手順を実行します。LinuxまたはUNIXシステムの場合

1. SSHキーを生成します。
   #### 推奨されるキー タイプは「rsa」で、DDOS 6.0以降で動作する唯一のタイプです

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### 「dsa」タイプのキーはDDOS 5.7以前でも機能しますが、このキー タイプは推奨されなくなりました

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   DDOSコマンド リファレンスには、「 d" オプションの代わりに "-t dsa.」どちらもDDOSで動作しますが、" d」は多くのLinuxディストリビューションでは機能しません。

   空白のパスフレーズ オプションを使用して、スクリプトの実行時にData Domainシステムのパスワード要件をバイパスします。

   新しいSSHキーの場所をメモします。ssh-keygen」コマンドが出力されます。これは、ユーザーの$HOMEディレクトリの .ssh/ の下に id_rsa.pub という名前のファイルとして格納されます。

2. 生成されたキーをData Domainシステムのアクセス リストに追加します。

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. 機能をテストします。

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

また、システムコマンドのスクリプト全体をファイルに渡すこともできます。これは、コマンドのリストを含む特定のファイルを指すコマンドを実行することによって行われます。

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

これにより、オペレーターはリモートホスト上でコマンドのリストを作成し、SSHを介してそれらをすべて一度に実行することができます。

パスワードを使用せずにログインするようにシステムを設定するには、次の手順を実行します。Windowsシステム(PuTTY)

1. SSH PuTTYツールをインストールします。PuTTY、PuTTYgen、Pageant(Windowsシステム上)

2. PuTTYセッションを作成します。

   1. PuTTY構成ツールであるPuTTYを起動します。
   2. Data DomainシステムのIPアドレスを使用してセッションを保存します。
      1. [PuTTY Configuration]ダイアログ ボックスで、[ Category>Session]を選択します。
      2. [SSH]ボタンを選択します。
      3. ホスト名フィールドと保存済みセッションフィールドに、Data DomainシステムのIPアドレスを入力します。例：168.192.2.3
      4. 「Save（保存）」をクリックします。
         

3. 自動ログイン ユーザー名を入力します。

   1. [PuTTY Configuration]ダイアログ ボックスで、[ Category>Connection>Data]を選択します。
   2. 自動ログイン ユーザー名フィールドに管理者ユーザー名を入力します。例：
      sysadmin
   3. 「Save（保存）」をクリックします。

4. PuTTYキーを作成します。

   1. PuTTYgen(PuTTYキー ジェネレーター ツール)を起動します。
      
   2. PuTTY Key Generator ツールを使用して、公開キーと秘密キーを生成します。
      1. [キー]フィールドの空白領域にカーソルを移動することで、ランダム性が生成されます。
         OpenSSH authorized_keysファイルに貼り付けるための公開キーは、ランダムな文字で埋められます。
         [キー フィンガープリント] フィールドに参照値が入力されます。
      2. Key commentフィールドにキー識別子を作成し、識別キー名を入力します。例:
         admin_name@company.com
      3. Key passphraseフィールドとConfirm passphraseフィールドは空白のままにします。
         空白のパスフレーズ オプションを使用して、スクリプトの実行時にData Domainシステムのパスワード要件をバイパスします。
      4. [Save public key]をクリックします。
      5. [秘密キーの保存] をクリックします。
         保存されたキー ファイルへのパスをメモします。キー ファイル名の例:
         DataDomain_private_key.ppk
   3. ランダムに生成されたPuTTYキーをコピーします。
      [OpenSSH authorized_keysファイルに貼り付けるための公開キー]フィールド内のすべてのテキストを選択します。
      

5. Data Domainシステムのコマンド ラインでキーを追加します。

   1. Data Domainシステムのコマンド プロンプトを開きます。
   2. 管理SSHアクセス キーを追加します。コマンド ラインで、次のように入力します。

      adminaccess add ssh-keys

   3. PuTTYgenフィールドからランダムに生成されたキーを貼り付けます。マウスの右クリック > 貼り付けオプションを使用します。
   4. コマンドを完了し、 CTRL+Dを押します。
      

6. キーをPuTTYに接続します。

   1. PuTTY構成ツールから、[ Connection>SSH>Auth]を選択します。
   2. [Attempt authentication using Pageant]チェックボックスをオンにします。
   3. [Attempt keyboard-interactive auth (SSH-2)]チェックボックスをオンにします
   4. 認証フィールドのプライベート キー ファイルで、 参照をクリックします。
   5. 手順3で生成および保存したPuTTYキーを参照します。例:DataDomain_private_key.ppk
   6. 設定を保存し、[ 保存]をクリックします。
      

7. セッションを開きます。

   1. [PuTTY Configuration]ダイアログ ボックスで、[ Category>Session]を選択します。
   2. [開く]をクリックします。
      Windowsコマンド ラインが開きます。PuTTYセッションが開きます。
      ユーザー名sysadminの使用 公開キーを使用したData Domain OS認証

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #