Avamar-taken mislukken met foutmelding 'gebruiker heeft onvoldoende bevoegdheden' als gevolg van DD Boost-probleem 209416

Summary: Back-ups en herstelbewerkingen mislukken met de melding gebruiker heeft onvoldoende bevoegdheden in Avamar Server met DD Boost library 3.4.0 als gevolg van Data Domain probleem #209416. Dit probleem kan ertoe leiden dat uw DD Boost-gebruiker vastloopt als de clientverificatie mislukt op Data Domain voor het back-up/herstelproces. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dit probleem kan ertoe leiden dat de DD Boost-gebruiker vergrendeld raakt, waardoor de Avamar-onderhoudstaken kunnen mislukken.

De foutmelding "user has insufficient privileges" is een generieke fout. Bekijk daarom de ddrmaint.log voor meer informatie over het probleem. 

In het back-up- of herstellogboek wordt de volgende fout weergegeven:      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Voer de volgende opdracht uit om de ddboost plug-inversie op Avamar te controleren: 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
Of  
grep -i engine ddrmaint.log | tail -1
Doorzoek het logboek met het IP-adres van de Avamar-client of de client-ID. In het DDFS-logboek (/ddr/var/log/debug/ddfs.info) op Data Domain worden de volgende fouten weergegeven: 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Dit bevestigt dat Data Domain het wachtwoord van de back-ups en herstelbewerkingen niet kon ontsleutelen.
 
Opmerking: Dit probleem kan zich ook voordoen als op de client die een back-up maakt v7.5.0 wordt uitgevoerd, zelfs als de server is geüpgraded naar v7.5.1+. Dit komt doordat de client tijdens de back-up een directe verbinding maakt met het Data Domain. Hierbij wordt de ddboost plug-inversie van de client gebruikt.

In dit geval worden in het logboek van de client-avtar de volgende fouten weergegeven tijdens de back-up:      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
En het ddfs.info-logboek toont opnieuw "corrupted credentials"-fouten van rond de tijd van de back-up: 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 gebruikt DD Boost library versie: 3.4.0.2, dit probleem doet zich voor in DD Boost bibliotheek 3.4.0 en is opgelost op 3.4.1.

Avamar Server versie 7.5.1 heeft DD Boost bibliotheekversie: 3.4.1.1. daarin ingebed. 

Vanaf de 3.4-plug-in voert Data Domain authenticatie uit met behulp van vooraf gedeelde sleutels (PSK's) die worden gegenereerd op basis van het wachtwoord. De client genereert een PSK op basis van het door de applicatie opgegeven wachtwoord, versleutelt bepaalde verificatiegegevens en verzendt deze naar DDR. De DDR probeert dezelfde PSK te genereren (omdat het het wachtwoord van een gebruiker al kent) en de inhoud die de client heeft verzonden te decoderen en te valideren.

Als DD Boost ifgroup is ingeschakeld, valt het Data Domain in het opnieuw verbonden pad, dat het PSK-verbindingspad aanroept en vertrouwt op het wachtwoord dat crypt_hash opgeslagen in de nfs_conn-structuur. Bij DD Boost plug-in 3.4.0.2 genereert Data Domain het wachtwoord niet opnieuw crypt_hash tijdens het opnieuw koppelen. De PSK-sleutel is niet hetzelfde op de client en DDR, vandaar de mislukte ontsleuteling.

De oplossing is beschikbaar in DD Boost bibliotheek 3.4.1.0-574461.

Resolution

Permanente oplossing:
Upgrade de Avamar-server en alle clients met v7.5.0 naar v7.5.1-101 of hoger.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.