Utilizzo di SSH (SSH) per accedere a un Data Domain remoto senza fornire una password

SSH è un protocollo di rete che consente lo scambio di dati utilizzando un canale sicuro tra due dispositivi in rete. SSH è stato progettato come sostituto del protocollo Telnet a causa dell'incapacità di Telnet di proteggere i dati dagli attacchi "man in the middle". La crittografia utilizzata da SSH garantisce la riservatezza e l'integrità dei dati su una rete non protetta, come Internet.

Per praticità, facilità di amministrazione e integrazione in altri prodotti (ad esempio DELL EMC DPA), potrebbe essere necessario accedere a un DD a livello di programmazione senza che un amministratore fornisca ogni volta una password o senza archiviare la password in modo non sicuro in un file di testo. È qui che entra in gioco l'autenticazione con chiave SSH.

Requisiti SSH

• Un computer con un client SSH installato (ad esempio OpenSSH o PuTTY)
• Connettività di rete IP tramite la porta TCP 22
• Server SSH abilitato e in ascolto sulla porta TCP 22 (impostazione predefinita per il sistema Data Domain)
• Testare la possibilità di connettersi inizialmente al DD remoto tramite SSH utilizzando un nome utente e una password:

1. Eseguire il software client SSH sul sistema remoto.
2. Configurare il client SSH per la connessione utilizzando il nome host o l'indirizzo IP del sistema Data Domain.
   • Se si utilizza PuTTY, lasciare la porta predefinita (22) e cliccare: "Aprite."
   • Se ci si connette per la prima volta, viene visualizzato un messaggio simile al seguente:

     La chiave host del server non è memorizzata nella cache nel Registro di sistema. Non hai alcuna garanzia che il server sia il computer che pensi che sia. L'impronta digitale della chiave rsa2 del server è: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Se ti fidi di questo host, premi Sì per aggiungere la chiave alla cache di PuTTY e continuare a connetterti. Se si desidera continuare a connettersi una sola volta, senza aggiungere la chiave alla cache, premere No. Se non ti fidi di questo host, premi Annulla per abbandonare la connessione.

     Cliccare su Sì
3. Accedere al sistema. Se ci si connette al sistema Data Domain per la prima volta e la password utente "sysadmin" non è stata modificata:
   • Il nome utente è: sysadmin
   • La password è il numero di serie 180583 del sistema

Configurazione del sistema per l'accesso senza utilizzare una password: Su un sistema Linux o UNIX

1. Generare una chiave SSH.
   #### Il tipo di chiave consigliato è "rsa" ed è l'unico compatibile con DDOS 6.0 e versioni successive

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Le chiavi di tipo "dsa" funzionano anche su DDOS 5.7 o versioni precedenti, tuttavia questo tipo di chiave non è più consigliato

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   La Guida di riferimento ai comandi di DDOS indica di utilizzare il comando " d" invece di "-t dsa." Entrambi funzioneranno su DDOS, ma " d" non funziona su molte distribuzioni Linux.

   Utilizzare l'opzione di passphrase vuota per ignorare il requisito della password del sistema Data Domain durante l'esecuzione di script.

   Prendere nota della posizione della nuova chiave SSH su "ssh-keygen" output del comando. Viene memorizzato nella directory $HOME dell'utente sotto .ssh/ come file denominato id_rsa.pub.

2. Aggiungere la chiave generata all'elenco di accesso dei sistemi Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testare la funzionalità.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

È inoltre possibile passare un intero script di comandi di sistema in un file al dispositivo. Questa operazione viene eseguita eseguendo un comando che punta al file specifico contenente l'elenco dei comandi:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Ciò consente a un operatore di creare un elenco di comandi su un host remoto e quindi eseguirli tutti in una volta tramite SSH.

Configurazione del sistema per l'accesso senza utilizzare una password: Sistemi Windows (PuTTY)

1. Installare gli strumenti SSH PuTTY: PuTTY, PuTTYgen e Pageant, sul sistema Windows

2. Creare una sessione PuTTY.

   1. Avviare PuTTY, lo strumento di configurazione PuTTY.
   2. Salvare una sessione con l'indirizzo IP del sistema Data Domain.
      1. Nella finestra di dialogo PuTTY Configuration, selezionare Category>Session.
      2. Selezionare il pulsante SSH .
      3. Inserire l'indirizzo IP del sistema Data Domain nel campo Host Name e nel campo Saved Sessions. Ad esempio: 168.192.2.3
      4. Cliccare su Save.
         

3. Inserire il nome utente per l'accesso automatico.

   1. Nella finestra di dialogo PuTTY Configuration, selezionare la categoria Connection>>Data.
   2. Inserire il nome utente dell'amministratore nel campo Auto-login username. Ad esempio:
      Sysadmin
   3. Cliccare su Save.

4. Creare una chiave PuTTY.

   1. Avviare PuTTYgen, lo strumento generatore di chiavi PuTTY.
      
   2. Generare chiavi pubbliche e private utilizzando lo strumento generatore di chiavi PuTTY.
      1. Genera un po' di casualità spostando il cursore sull'area vuota nel campo Chiave.
         La chiave pubblica da incollare nel file di authorized_keys OpenSSH si riempie di caratteri casuali.
         Il campo Impronta digitale chiave si compila con i valori di riferimento.
      2. Creare un ID chiave nel campo Key comment digitare un nome chiave identificativo, ad esempio:
         admin_name@company.com
      3. Lasciare vuoti i campi Key passphrase e Confirm passphrase.
         Utilizzare l'opzione di passphrase vuota per ignorare il requisito della password del sistema Data Domain durante l'esecuzione di script.
      4. Cliccare su Save public key.
      5. Cliccare su Save private key.
         Prendere nota del percorso del file di chiavi salvato. Nome file chiave di esempio:
         DataDomain_private_key.ppk
   3. Copiare la chiave PuTTY generata casualmente.
      Selezionare tutto il testo nel campo Public key per incollarlo nel file di authorized_keys OpenSSH.
      

5. Aggiungere la chiave nella riga di comando del sistema Data Domain.

   1. Aprire un prompt dei comandi del sistema Data Domain.
   2. Aggiungere la chiave di accesso SSH amministrativa. Nella riga di comando, digitare:

      adminaccess add ssh-keys

   3. Incollare la chiave generata casualmente dal campo PuTTYgen. Utilizzare l'opzione Incolla con > il pulsante destro del mouse.
   4. Completare il comando, premere CTRL+D.
      

6. Collegare la chiave a PuTTY.

   1. Dallo strumento di configurazione PuTTY, selezionare Connection>SSH>Auth.
   2. Casella di controllo Tentare l'autenticazione tramite Pageant.
   3. Casella di controllo Tentare l'autenticazione interattiva da tastiera (SSH-2)
   4. Nel file della chiave privata per il campo di autenticazione, cliccare su Browse.
   5. Individuare la chiave PuTTY generata e salvata nel passaggio 3. Ad esempio, DataDomain_private_key.ppk
   6. Salvare le impostazioni e cliccare su Save.
      

7. Aprire la sessione.

   1. Nella finestra di dialogo PuTTY Configuration, selezionare Category>Session.
   2. Cliccare su Apri.
      Viene visualizzata una riga di comando di Windows. Viene aperta la sessione PuTTY.
      Utilizzo del nome utente sysadmin Autenticazione del sistema operativo Data Domain con chiave pubblica

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #