Utilisation de SSH (SSH) pour se connecter à un système Data Domain distant sans indiquer de mot de passe

SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH a été conçu pour remplacer le protocole Telnet en raison de son incapacité à protéger les données contre les attaques de l’intercepteur. Le chiffrement utilisé par SSH assure la confidentialité et l’intégrité des données sur un réseau non sécurisé, tel qu’Internet.

Pour des raisons de commodité, de facilité d’administration et d’intégration dans d’autres produits (tels que DELL EMC DPA), un DD peut être accessible par programmation sans qu’un administrateur ne fournisse un mot de passe à chaque fois ou sans que celui-ci ne soit stocké de manière non sécurisée sur un fichier texte. C’est là que l’authentification par clé SSH entre en jeu.

Configuration SSH requise

• Un ordinateur sur lequel est installé un client SSH (par exemple, OpenSSH ou PuTTY)
• Connectivité réseau IP via le port TCP 22
• Serveur SSH activé et à l’écoute sur le port TCP 22 (valeur par défaut pour le système Data Domain)
• Testez que vous pouvez vous connecter initialement au DD distant via SSH à l’aide d’un nom d’utilisateur et d’un mot de passe :

1. Exécutez le logiciel client SSH sur le système distant.
2. Configurez le client SSH pour vous connecter à l’aide du nom d’hôte ou de l’adresse IP du système Data Domain.
   • Si vous utilisez PuTTY, conservez le port par défaut (22) et cliquez sur : « Ouvert. »
   • Si vous vous connectez pour la première fois, un message s’affiche ressemblant à ceci :

     La clé d’hôte du serveur n’est pas mise en cache dans le registre. Vous n’avez aucune garantie que le serveur soit l’ordinateur que vous croyez être. L’empreinte de clé rsa2 du serveur est la suivante : ssh-rsa 1024 7b :e5:6f :a7 :f4 :f9:81:62:5c :e3:1f :bf :8b :57:6c :5a Si vous faites confiance à cet hôte, appuyez sur Oui pour ajouter la clé au cache de PuTTY et poursuivre la connexion. Si vous souhaitez continuer à vous connecter une seule fois, sans ajouter la clé au cache, appuyez sur Non. Si vous ne faites pas confiance à cet hôte, appuyez sur Annuler pour abandonner la connexion.

     Cliquez sur Oui
3. Connectez-vous au système. Si vous vous connectez au système Data Domain pour la première fois et que le mot de passe de l’utilisateur « sysadmin » n’a pas été modifié :
   • Le nom d’utilisateur est : sysadmin
   • Le mot de passe correspond au numéro de série 180583 du système

Configuration du système pour qu’il se connecte sans mot de passe : Sur un système Linux ou UNIX

1. Générez une clé SSH.
   #### Le type de clé recommandé est « rsa » et c’est le seul qui fonctionne avec DDOS 6.0 et versions ultérieures

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Les clés de type « dsa » fonctionnent également sous DDOS 5.7 ou version antérieure, mais ce type de clé n’est plus recommandé

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La référence des commandes de DDOS indique d’utiliser la commande « d« au lieu de »-t dsa. » L’un ou l’autre fonctionnera sur DDOS, mais « d» ne fonctionne pas sur de nombreuses distributions Linux.

   Utilisez l’option de phrase secrète vide pour contourner l’exigence de mot de passe du système Data Domain lors de l’exécution de scripts.

   Notez l’emplacement de la nouvelle clé SSH sur la page «ssh-keygen" sortie de la commande. Il est stocké dans le répertoire $HOME de l’utilisateur sous .ssh/ sous la forme d’un fichier nommé id_rsa.pub.

2. Ajoutez la clé générée à la liste d’accès des systèmes Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Tester la fonctionnalité.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Vous pouvez également transmettre à l’appareil l’intégralité d’un script de commandes système dans un fichier. Pour ce faire, exécutez une commande pour pointer vers le fichier spécifique contenant la liste des commandes :

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Cela permet à un opérateur de créer une liste de commandes sur un hôte distant, puis de les exécuter toutes en même temps via SSH.

Configuration du système pour qu’il se connecte sans mot de passe : Systèmes Windows (PuTTY)

1. Installez les outils SSH PuTTY : PuTTY, PuTTYgen et Pageant, sur le système Windows

2. Créez une session PuTTY.

   1. Démarrez PuTTY, l’outil de configuration PuTTY.
   2. Enregistrez une session avec l’adresse IP du système Data Domain.
      1. Dans la boîte de dialogue Configuration PuTTY, sélectionnez Session de catégorie>.
      2. Sélectionnez le bouton SSH .
      3. Saisissez l’adresse IP du système Data Domain dans les champs Host Name et Saved Sessions. Par exemple : 168.192.2.3
      4. Cliquez sur Save (Enregistrer).
         

3. Saisissez le nom d’utilisateur de la connexion automatique.

   1. Dans la boîte de dialogue Configuration PuTTY, sélectionnez la catégorie>Données de connexion>.
   2. Saisissez le nom d’utilisateur administrateur dans le champ Auto-login username. Par exemple :
      sysadmin
   3. Cliquez sur Save (Enregistrer).

4. Créez une clé PuTTY.

   1. Démarrez PuTTYgen, l’outil générateur de clés PuTTY.
      
   2. Générez des clés publiques et privées à l’aide de l’outil Générateur de clés PuTTY.
      1. Générez un peu d’aléatoire en déplaçant le curseur sur la zone vide dans le champ Key.
         La clé publique à coller dans le fichier authorized_keys OpenSSH se remplit de caractères aléatoires.
         Le champ Key fingerprint est renseigné avec les valeurs de référence.
      2. Créez un ID de clé dans le champ Commentaire de clé, saisissez un nom de clé d’identification, par exemple :
         admin_name@company.com
      3. Laissez les champs Key passphrase et Confirm passphrase vides.
         Utilisez l’option de phrase secrète vide pour contourner l’exigence de mot de passe du système Data Domain lors de l’exécution de scripts.
      4. Cliquez sur Save public key.
      5. Cliquez sur Save private key.
         Notez le chemin du fichier de clé enregistré. Exemple de nom de fichier de clé :
         DataDomain_private_key.ppk
   3. Copiez la clé PuTTY générée de manière aléatoire.
      Sélectionnez tout le texte du champ, Clé publique à coller dans le fichier authorized_keys OpenSSH.
      

5. Ajoutez la clé dans la ligne de commande du système Data Domain.

   1. Ouvrez une invite de commande du système Data Domain.
   2. Ajoutez la clé d’accès SSH d’administration. Sur la ligne de commande, saisissez :

      adminaccess add ssh-keys

   3. Collez la clé générée aléatoirement à partir du champ PuTTYgen. Utilisez l’option Coller avec le bouton > droit de la souris.
   4. Terminez la commande, puis appuyez sur CTRL+D.
      

6. Connectez la clé à PuTTY.

   1. Dans l’outil de configuration PuTTY, sélectionnez Connection>SSH>Auth.
   2. Case à cocher Tenter l’authentification à l’aide de Pageant.
   3. Case à cocher Attempt keyboard-interactive auth (SSH-2)
   4. Dans le fichier de clé privée du champ d’authentification, cliquez sur Parcourir.
   5. Accédez à la clé PuTTY générée et enregistrée à l’étape 3. Par exemple, DataDomain_private_key.ppk
   6. Enregistrez les paramètres, puis cliquez sur Enregistrer.
      

7. Ouvrez la session.

   1. Dans la boîte de dialogue Configuration PuTTY, sélectionnez Session de catégorie>.
   2. Cliquez sur Ouvrir.
      Une ligne de commande Windows s’ouvre. La session PuTTY s’ouvre.
      Utilisation du nom d’utilisateur sysadmin Authentification du système d’exploitation Data Domain avec une clé publique

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #