Uso de SSH (SSH) para iniciar sesión en un Data Domain remoto sin proporcionar una contraseña

SSH es un protocolo de red que permite el intercambio de datos mediante un canal seguro entre dos dispositivos en red. SSH fue diseñado como un reemplazo para el protocolo de Telnet debido a la incapacidad de Telnet para proteger los datos contra ataques de "hombre en el medio". El cifrado utilizado por SSH proporciona confidencialidad e integridad de los datos a través de una red poco segura, como Internet.

Para mayor comodidad, facilidad de administración e integración en otros productos (como DELL EMC DPA), es posible que se deba acceder a DD mediante programación sin que un administrador proporcione una contraseña cada vez o sin que la contraseña se almacene de manera insegura en algún archivo de texto. Ahí es donde entra en juego la autenticación de clave SSH.

Requisitos de SSH

• Una computadora con un cliente SSH instalado (como OpenSSH o PuTTY)
• Conectividad de red IP mediante el puerto TCP 22
• Servidor SSH habilitado y escuchando en el puerto TCP 22 (este es el valor predeterminado para el sistema Data Domain)
• Pruebe que inicialmente puede conectarse al DD remoto a través de SSH con un nombre de usuario y una contraseña:

1. Ejecute el software cliente SSH en el sistema remoto.
2. Configure el cliente SSH para conectarse mediante la dirección IP o el hostname del sistema Data Domain.
   • Si utiliza PuTTY, deje el puerto predeterminado (22) y haga clic en: "Abierto".
   • Si se conecta por primera vez, aparece un mensaje similar al siguiente:

     La clave de host del servidor no se almacena en caché en el registro. No tiene ninguna garantía de que el servidor sea la computadora que cree que es. La huella digital de la llave rsa2 del servidor es: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Si confía en este host, presione Yes para agregar la clave a la caché de PuTTY y continuar con la conexión. Si desea continuar conectándose solo una vez, sin agregar la clave al caché, presione No. Si no confía en este host, presione Cancelar para abandonar la conexión.

     Haga clic en Yes
3. Inicie sesión en el sistema. Si se conecta al sistema Data Domain por primera vez y no se cambió la contraseña de usuario "sysadmin":
   • El nombre de usuario es: sysadmin
   • La contraseña es el número de serie 180583 del sistema

Configuración del sistema para iniciar sesión sin usar una contraseña: En un sistema Linux o UNIX

1. Genere una clave SSH.
   #### El tipo de clave recomendado es "rsa" y es el único que funciona con DDOS 6.0 y versiones posteriores

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Las claves de tipo "dsa" también funcionarán en DDOS 5.7 o versiones anteriores; sin embargo, este tipo de clave ya no se recomienda

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La referencia de comandos de DDOS dice que se debe usar " d" en lugar de "-t dsa." Cualquiera de los dos funcionará en DDOS, pero " d" no funciona en muchas distribuciones de Linux.

   Utilice la opción de frase de contraseña en blanco para omitir el requisito de contraseña del sistema Data Domain cuando ejecute scripts.

   Anote la ubicación de la nueva clave SSH en el "ssh-keygen" salida del comando. Se almacena en el directorio de $HOME del usuario debajo de .ssh/ como un archivo llamado id_rsa.pub.

2. Agregue la clave generada a la lista de acceso de los sistemas Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Funcionalidad de prueba.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

También puede pasar un script completo de comandos del sistema en un archivo al dispositivo. Esto se realiza mediante la ejecución de un comando para apuntar al archivo específico que contiene la lista de comandos:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Esto permite que un operador cree una lista de comandos en un host remoto y, a continuación, los ejecute todos a la vez a través de SSH.

Configuración del sistema para iniciar sesión sin usar una contraseña: Sistemas Windows (PuTTY)

1. Instale las herramientas PuTTY de SSH: PuTTY, PuTTYgen y Pageant, en el sistema Windows

2. Cree una sesión de PuTTY.

   1. Inicie PuTTY, la herramienta de configuración de PuTTY.
   2. Guarde una sesión con la dirección IP del sistema Data Domain.
      1. En el cuadro de diálogo PuTTY Configuration, seleccione Category>Session.
      2. Seleccione el botón SSH .
      3. Ingrese la dirección IP del sistema Data Domain en el campo Host Name y en el campo Saved Sessions. Por ejemplo: 168.192.2.3
      4. Haga clic en Guardar.
         

3. Ingrese el nombre de usuario de inicio de sesión automático.

   1. En el cuadro de diálogo Configuración de PuTTY, seleccione la categoría>Datos de conexión>.
   2. Ingrese el nombre de usuario del administrador en el campo Auto-login username. Por ejemplo:
      sysadmin
   3. Haga clic en Guardar.

4. Cree una clave PuTTY.

   1. Inicie PuTTYgen, la herramienta generadora de claves PuTTY.
      
   2. Genere claves públicas y privadas con la herramienta generadora de claves PuTTY.
      1. Genere algo de aleatoriedad moviendo el cursor sobre el área en blanco en el campo Clave.
         La clave pública para pegar en el archivo OpenSSH authorized_keys se llena de caracteres aleatorios.
         El campo Huella digital clave se completa con valores de referencia.
      2. Cree un identificador de clave En el campo de comentario de clave, escriba un nombre de clave de identificación, por ejemplo:
         admin_name@company.com
      3. Deje en blanco los campos Key passphrase y Confirm passphrase.
         Utilice la opción de frase de contraseña en blanco para omitir el requisito de contraseña del sistema Data Domain cuando ejecute scripts.
      4. Haga clic en Save public key.
      5. Haga clic en Save private key.
         Anote la ruta al archivo de clave guardado. Ejemplo de nombre de archivo de clave:
         DataDomain_private_key.ppk
   3. Copie la clave PuTTY generada aleatoriamente.
      Seleccione todo el texto en el campo Clave pública para pegar en el archivo de authorized_keys OpenSSH.
      

5. Agregue la clave en la línea de comandos del sistema Data Domain.

   1. Abra una línea de comandos del sistema Data Domain.
   2. Agregue la clave de acceso SSH administrativa. En la línea de comandos, escriba:

      adminaccess add ssh-keys

   3. Pegue la clave generada aleatoriamente en el campo PuTTYgen. Utilice la opción Pegar clic con el botón secundario > del mouse.
   4. Complete el comando y presione CTRL+D.
      

6. Conecte la llave a PuTTY.

   1. En la herramienta PuTTY Configuration, seleccione Connection>SSH>Auth.
   2. Marque la casilla Intentar autenticación mediante Pageant.
   3. Marque la casilla Intentar autenticación interactiva del teclado (SSH-2)
   4. En el archivo de clave privada para el campo de autenticación, haga clic en Browse.
   5. Navegue hasta la clave PuTTY generada y guardada en el paso 3. Por ejemplo, DataDomain_private_key.ppk
   6. Guarde los ajustes, haga clic en Guardar.
      

7. Abra la sesión.

   1. En el cuadro de diálogo PuTTY Configuration, seleccione Category>Session.
   2. Haga clic en Open (Abrir).
      Se abre una línea de comandos de Windows. Se abre la sesión de PuTTY.
      Uso del nombre de usuario sysadmin Autenticación del SO Data Domain con clave pública

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #