Échec des tâches Avamar avec l’erreur « user has insufficient privileges » en raison du problème DD Boost 209416

Summary: Les sauvegardes et les restaurations échouent avec l’option « user has insufficient privileges » sur un serveur Avamar exécutant la bibliothèque DD Boost 3.4.0 en raison du problème #209416 de Data Domain. Ce problème peut entraîner le verrouillage de votre utilisateur DD Boost, car l’authentification client échoue sur Data Domain pour le processus de sauvegarde/restauration. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ce problème peut entraîner le verrouillage de l’utilisateur DD Boost, ce qui peut entraîner l’échec des tâches de maintenance Avamar.

L’erreur « user has insufficient privileges » est une erreur générique. Par conséquent, consultez la ddrmaint.log pour plus d’informations sur le problème. 

Sur le log de sauvegarde ou de restauration, l’erreur suivante s’affiche :      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Pour vérifier la version du plug-in ddboost sur Avamar, exécutez la commande suivante : 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
ou  
grep -i engine ddrmaint.log | tail -1
Recherchez le log avec l’adresse IP ou l’ID du client Avamar. Dans le journal DDFS (/ddr/var/log/debug/ddfs.info) sur Data Domain, les erreurs suivantes s’affichent : 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Cela confirme que Data Domain n’a pas pu déchiffrer le mot de passe fourni par les sauvegardes et les restaurations.
 
Remarque : Ce problème peut également se produire si le client qui effectue la sauvegarde exécute la version 7.5.0, même si le serveur a été mis à niveau vers la version 7.5.1+. Cela est dû au fait que le client établit une connexion directe avec Data Domain pendant la sauvegarde, la version du plug-in ddboost du client étant utilisée.

Dans ce cas, le journal avtar du client affiche les erreurs suivantes lors de la sauvegarde :      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
Le journal ddfs.info affiche à nouveau des erreurs d’informations d’identification corrompues à peu près au moment de la sauvegarde : 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 utilise la version de la bibliothèque DD Boost : 3.4.0.2, ce problème existe sur la bibliothèque DD Boost 3.4.0 et est résolu sur la version 3.4.1.

Le serveur Avamar version 7.5.1 dispose de la version de la bibliothèque DD Boost : 3.4.1.1. intégré dans celui-ci. 

À partir du plug-in 3.4, Data Domain effectue l’authentification à l’aide de clés pré-partagées (PSK) générées à partir du mot de passe. Le client génère une clé PSK à partir du mot de passe fourni par l’application, chiffre certaines informations d’authentification et les envoie à DDR. La DDR tente de générer la même clé PSK (puisqu’elle connaît déjà le mot de passe d’un utilisateur), de déchiffrer le contenu envoyé par le client et de valider.

Lorsque DD Boost ifgroup est activé, le Data Domain tombe dans le chemin reconnecté, qui appelle le chemin de connexion PSK et s’appuie sur le mot de passe crypt_hash stocké dans la structure nfs_conn. Toutefois, sur le plug-in DD Boost 3.4.0.2, Data Domain ne génère pas à nouveau le mot de passe crypt_hash lors de la reconnexion. La clé PSK n’est pas la même sur le client et sur le DDR, d’où l’échec du déchiffrement.

Le correctif est disponible dans la bibliothèque DD Boost 3.4.1.0-574461.

Resolution

Correctif permanent :
Mettez à niveau le serveur Avamar et tous les clients exécutant la version 7.5.0 vers la version 7.5.1-101 ou une version supérieure.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.