由于 DD Boost 问题 209416,Avamar 作业失败并显示错误“用户权限不足”
Summary: 由于 Data Domain 问题 #209416,在运行 DD Boost 库 3.4.0 的 Avamar 服务器中,备份和还原失败并显示“用户权限不足”。此问题可能导致 DD Boost 用户锁定,因为在 Data Domain 上进行备份/还原过程的客户端身份验证失败。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
此问题可能导致 DD Boost 用户被锁定,因此 Avamar 维护任务可能会失败。
错误“用户权限不足”是一般性错误。因此,请查看ddrmaint.log以了解有关问题的详细信息。
在备份或还原日志中,会看到以下错误:
在这种情况下,客户端 avtar 日志在备份期间显示以下错误:
错误“用户权限不足”是一般性错误。因此,请查看ddrmaint.log以了解有关问题的详细信息。
在备份或还原日志中,会看到以下错误:
avtar Error <10512>: Problem logging into the DDR server index:1 avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights avtar Error <10512>: Problem logging into the DDR server index:1要验证 Avamar 上的 ddboost 插件版本,请运行以下命令:
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"
或
grep -i engine ddrmaint.log | tail -1使用 Avamar Client 的 IP 或客户端 ID 搜索日志。在 Data Domain 上的 DDFS 日志 (/ddr/var/log/debug/ddfs.info) 中,看到以下错误:
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost. Error is 7:Authentication failure 06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896 06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed 06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
这可确认 Data Domain 无法解密备份和还原提供的密码。
提醒:如果备份的客户端运行的是 v7.5.0,即使服务器已升级到 v7.5.1+,也可能会出现此问题。这是因为客户端在备份期间直接连接到 Data Domain,使用来自客户端的 ddboost 插件程序版本。
在这种情况下,客户端 avtar 日志在备份期间显示以下错误:
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2). 2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled. 2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed [ 6148] [3492] Thu Oct 11 12:05:26 2018 ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted) [ 6148] [4932] Thu Oct 11 12:04:58 2018 ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory) 2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075ddfs.info 日志再次显示备份前后的“损坏的凭据”错误:
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Cause
Avamar Server 7.5.0 使用 DD Boost 库版本:3.4.0.2,此问题存在于 DD Boost 库 3.4.0 上,已在 3.4.1 中得到修复。
Avamar Server 版本 7.5.1 具有 DD Boost 库版本:3.4.1.1. 嵌入其中。
从 3.4 插件程序开始,Data Domain 使用从密码生成的预共享密钥 (PSK) 进行身份验证。客户端根据应用程序提供的密码生成 PSK,对一些身份验证信息进行加密,然后将其发送到 DDR。DDR 尝试生成相同的 PSK(因为它已经知道用户的密码)并解密客户端发送和验证的内容。
启用 DD Boost ifgroup 后,Data Domain 将进入重新连接的路径,该路径调用 PSK 连接路径并依赖于nfs_conn结构中存储的密码crypt_hash。但是,在 DD Boost 插件 3.4.0.2 上,Data Domain 不会在重新连接期间再次生成密码crypt_hash。客户端和 DDR 上的 PSK 密钥不相同,因此解密失败。
DD Boost 库 3.4.1.0-574461 中提供了修复。
Resolution
永久修复:
将运行 v7.5.0 的 Avamar Server 和所有客户端升级到 v7.5.1-101 或更高版本。
将运行 v7.5.0 的 Avamar Server 和所有客户端升级到 v7.5.1-101 或更高版本。
Affected Products
AvamarProducts
Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open StorageArticle Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.