由於 DD Boost 問題209416,Avamar 工作失敗並顯示錯誤「使用者權限不足」
Summary: 由於 Data Domain 問題 #209416,執行 DD Boost 程式庫 3.4.0 的 Avamar Server 備份和還原失敗,並顯示「使用者權限不足」。此問題可能會導致您的 DD Boost 使用者鎖定,因為備份/還原程序在 Data Domain 上的用戶端驗證失敗。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
此問題可能會導致 DD Boost 使用者鎖定,進而導致 Avamar 維護工作失敗。
錯誤「使用者沒有足夠的權限」是一般錯誤。因此,請查看ddrmaint.log以瞭解此問題的詳細資訊。
在備份或還原記錄中,會看到下列錯誤:
在這種情況下,用戶端 avtar 記錄會在備份期間顯示下列錯誤:
錯誤「使用者沒有足夠的權限」是一般錯誤。因此,請查看ddrmaint.log以瞭解此問題的詳細資訊。
在備份或還原記錄中,會看到下列錯誤:
avtar Error <10512>: Problem logging into the DDR server index:1 avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights avtar Error <10512>: Problem logging into the DDR server index:1若要確認 Avamar 上的 ddboost 附掛程式版本,請執行下列命令:
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"
或
grep -i engine ddrmaint.log | tail -1使用 Avamar 用戶端的 IP 或用戶端 ID 搜尋記錄。在 Data Domain 上的 DDFS 記錄 (/ddr/var/log/debug/ddfs.info) 中,會看到下列錯誤:
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost. Error is 7:Authentication failure 06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896 06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed 06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
這確認 Data Domain 無法解密備份及還原提供的密碼。
注意:如果用戶端備份執行的是 v7.5.0,即使伺服器已升級至 v7.5.1+,也可能會發生此問題。這是因為用戶端在備份期間直接連線至 Data Domain,因此會使用用戶端的 ddboost 附掛程式版本。
在這種情況下,用戶端 avtar 記錄會在備份期間顯示下列錯誤:
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2). 2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled. 2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed [ 6148] [3492] Thu Oct 11 12:05:26 2018 ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted) [ 6148] [4932] Thu Oct 11 12:04:58 2018 ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory) 2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075ddfs.info 記錄再次顯示備份時的「損毀登入資料」錯誤:
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Cause
Avamar Server 7.5.0 使用 DD Boost 程式庫版本:3.4.0.2,此問題存在於 DD Boost 程式庫 3.4.0 上,並在 3.4.1 上已修正。
Avamar Server 7.5.1 版具有 DD Boost 程式庫版本:3.4.1.1. 嵌入其中。
從 3.4 附掛程式開始,Data Domain 會使用從密碼產生的預先共用金鑰 (PSK) 進行驗證。用戶端從應用程式提供的密碼生成 PSK,加密一些身份驗證資訊,並將其發送到 DDR。DDR 會嘗試產生相同的 PSK (因為它已經知道使用者的密碼),並解密用戶端傳送和驗證的內容。
啟用 DD Boost ifgroup 後,Data Domain 會落入重新連線的路徑,該路徑會呼叫 PSK 連線路徑,並仰賴儲存在nfs_conn結構crypt_hash密碼。但在 DD Boost 附掛程式 3.4.0.2 上,Data Domain 不會在重新連線期間再次產生密碼crypt_hash。用戶端和 DDR 上的 PSK 金鑰不相同,因此解密失敗。
可在 DD Boost 程式庫 3.4.1.0-574461 中取得修正。
Resolution
永久修正:
將 Avamar 伺服器和執行 v7.5.0 的所有用戶端升級至 v7.5.1-101 或更新版本。
將 Avamar 伺服器和執行 v7.5.0 的所有用戶端升級至 v7.5.1-101 或更新版本。
Affected Products
AvamarProducts
Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open StorageArticle Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.