Zadania Avamar kończą się niepowodzeniem z błędem "użytkownik ma niewystarczające uprawnienia" z powodu problemu z DD Boost 209416

Summary: Tworzenie kopii zapasowych i przywracanie kończy się niepowodzeniem z komunikatem "użytkownik ma niewystarczające uprawnienia" na serwerze Avamar z uruchomioną biblioteką DD Boost 3.4.0 z powodu problemu Data Domain #209416. Ten problem może spowodować zablokowanie użytkownika DD Boost w przypadku niepowodzenia uwierzytelniania klienta w Data Domain w procesie tworzenia kopii zapasowej/przywracania. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ten problem może spowodować zablokowanie użytkownika DD Boost, co może zakończyć się niepowodzeniem zadań konserwacji Avamar.

Błąd "użytkownik ma niewystarczające uprawnienia" jest błędem ogólnym. Dlatego zapoznaj się z ddrmaint.log, aby uzyskać szczegółowe informacje na temat tego problemu. 

W dzienniku kopii zapasowej lub przywracania widoczny jest następujący błąd:      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Aby sprawdzić wersję wtyczki ddboost w Avamarze, uruchom następujące polecenie: 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
Lub  
grep -i engine ddrmaint.log | tail -1
Przeszukaj dziennik przy użyciu adresu IP lub identyfikatora klienta Avamar. W dzienniku DDFS (/ddr/var/log/debug/ddfs.info) w Data Domain widoczne są następujące błędy: 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Potwierdza to, że system Data Domain nie był w stanie odszyfrować hasła dostarczonego przez kopie zapasowe i przywracanie.
 
Uwaga: Ten problem może również wystąpić, jeśli kopia zapasowa klienta działa w wersji 7.5.0, nawet jeśli serwer został uaktualniony do wersji 7.5.1+. Dzieje się tak ze względu na to, że klient nawiązuje bezpośrednie połączenie z domeną danych podczas tworzenia kopii zapasowej, używana jest wersja wtyczki ddboost z klienta.

W takim przypadku dziennik avtar klienta pokazuje następujące błędy podczas tworzenia kopii zapasowej:      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
Dziennik ddfs.info ponownie pokazuje błędy "uszkodzonych poświadczeń" z okresu utworzenia kopii zapasowej: 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 używa wersji biblioteki DD Boost: 3.4.0.2, ten problem występuje w bibliotece DD Boost 3.4.0 i został rozwiązany w wersji 3.4.1.

Avamar Server w wersji 7.5.1 ma bibliotekę DD Boost w wersji: 3.4.1.1. osadzony w nim. 

Począwszy od wtyczki 3.4, Data Domain przeprowadza uwierzytelnianie przy użyciu kluczy wstępnych (PSK) wygenerowanych na podstawie hasła. Klient generuje klucz PSK na podstawie hasła dostarczonego przez aplikację, szyfruje niektóre informacje uwierzytelniające i wysyła je do DDR. DDR próbuje wygenerować ten sam klucz PSK (ponieważ zna już hasło użytkownika) i odszyfrować zawartość wysłaną przez klienta oraz zweryfikować poprawność.

Po włączeniu DD Boost ifgroup Data Domain wpada do ponownie połączonej ścieżki, która wywołuje ścieżkę połączenia PSK i opiera się na haśle crypt_hash przechowywanym w strukturze nfs_conn. Jednak we wtyczce DD Boost 3.4.0.2 system Data Domain nie generuje ponownie hasła crypt_hash podczas ponownego nawiązywania połączenia. Klucz PSK nie jest taki sam na kliencie i w DDR, stąd błąd odszyfrowywania.

Poprawka jest dostępna w bibliotece DD Boost 3.4.1.0-574461.

Resolution

Trwałe rozwiązanie:
Zaktualizuj serwer Avamar i wszystkie klienty z wersją 7.5.0 do wersji 7.5.1-101 lub nowszej.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.