I processi Avamar hanno esito negativo con errore "user has insufficient privileges" a causa del problema di DD Boost 209416

Summary: I backup e i ripristini hanno esito negativo con "user has insufficient privileges" in Avamar Server che esegue la libreria DD Boost 3.4.0 a causa del problema Data Domain #209416. Questo problema può causare il blocco dell'utente DD Boost poiché l'autenticazione client non riesce su Data Domain per il processo di backup/ripristino. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Questo problema può causare il blocco dell'utente DD Boost a causa del quale le attività di manutenzione di Avamar potrebbero non riuscire.

L'errore "user has insufficient privileges" è un errore generico. Pertanto, consultare il ddrmaint.log per ulteriori dettagli sul problema. 

Nel registro di backup o di restore, viene visualizzato il seguente errore:      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Per verificare la versione del plug-in ddboost su Avamar, eseguire il seguente comando: 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
Oppure  
grep -i engine ddrmaint.log | tail -1
Cercare nel registro l'IP o l'ID del client Avamar. Nel registro DDFS (/ddr/var/log/debug/ddfs.info) su Data Domain, vengono visualizzati i seguenti errori: 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Ciò conferma che Data Domain non è stato in grado di decrittografare la password fornita dai backup e dai ripristini.
 
Nota: Questo problema può verificarsi anche se il backup del client esegue v7.5.0, anche se il server è stato aggiornato a v7.5.1+. Ciò è dovuto al fatto che il client effettua una connessione diretta a Data Domain durante il backup, viene utilizzata la versione del plug-in ddboost dal client.

In questo caso, il registro avtar del client mostra i seguenti errori durante il backup:      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
E il registro ddfs.info mostra di nuovo errori di "credenziali danneggiate" relativi all'incirca al momento del backup: 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 utilizza la versione della libreria DD Boost: 3.4.0.2, questo problema esiste sulla libreria DD Boost 3.4.0 ed è stato risolto nella versione 3.4.1.

Avamar Server versione 7.5.1 dispone della versione della libreria DD Boost: 3.4.1.1. integrato in esso. 

A partire dal plug-in 3.4, Data Domain esegue l'autenticazione utilizzando chiavi precondivise (PSK) generate dalla password. Il client genera una PSK dalla password fornita dall'applicazione, crittografa alcune informazioni di autenticazione e le invia a DDR. Il DDR tenta di generare la stessa PSK (poiché conosce già la password di un utente) e di decrittografare i contenuti inviati e convalidati dal client.

Con DD Boost ifgroup abilitato, Data Domain rientra nel percorso riconnesso, che chiama il percorso di connessione PSK e si basa sul crypt_hash password archiviato nella struttura nfs_conn. Nel plug-in DD Boost 3.4.0.2, tuttavia, Data Domain non genera nuovamente la password crypt_hash durante la riconnessione. La chiave PSK non è la stessa sul client e sul DDR, da qui l'errore di decrittografia.

La correzione è disponibile nella libreria DD Boost 3.4.1.0-574461.

Resolution

Correzione permanente:
Aggiornare l'Avamar Server e tutti i client che eseguono v7.5.0 alla v7.5.1-101 o successiva.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.