IDPA: ChangeAvamarPasswords nie może wykonać polecenia change-passwords w węźle Avamar Utility Node

Summary: IDPA zmieniając hasła z pulpitu nawigacyjnego ACM nie zmienia haseł systemu operacyjnego węzła Avamar Utility Node i zgłasza błędy.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Integrated Data Protection Appliance (IDPA) Zmiana hasła z pulpitu nawigacyjnego ACM nie powoduje zmiany haseł systemu operacyjnego węzła Avamar Utility Node i zgłasza błędy:     
  • [FAILED] Backup Server - Failed to change password for Avamar OS user.
[FAILED] Backup Server - Failed to change password for Avamar server user. 
Dodatkowe informacje:    
  • Wszystkie pozostałe hasła zostaną pomyślnie zaktualizowane
  • Błąd zgłasza plik ACM /usr/local/dataprotection/var/configmgr/server_data/logs/server.log:     
ERROR [Thread-256364]-avadapter.AvamarUtil: changeAvamarPasswords -->Failed to execute change-passwords command on avamar utility node

 

Cause

Po wywołaniu opcji zmiany hasła z pulpitu nawigacyjnego ACM, ACM łączy się z każdym komponentem IDPA i przeprowadza odpowiednią zmianę hasła.  W przypadku komponentu wirtualnego (4x00/5x00) lub fizycznego (8x00) Avamar łączy się on przez SSH z węzłem mediów jako użytkownik "root" i wykonuje lokalny skrypt "change-passwords". W tym przypadku skrypt change-passwords nie powiódł się, ponieważ oczekiwany monit po "su" nie monitował o "Password" w odpowiednim czasie, w związku z czym nie powiódł się z przekroczeniem limitu czasu, jak odnotowano w pliku dziennika ACM /usr/local/dataprotection/var/configmgr/server_data/logs/server.log Poniżej znajduje się fragment:      
  
2019-05-29 17:06:13,100 INFO  [Thread-256364]-util.SSHUtil: Creating session using SSH parameters:      Host     : [10.99.2.214]     User     : [admin]     Password : [**********]
2019-05-29 17:06:13,100 INFO  [Thread-256364]-util.SSHUtil: Connecting to host [10.99.2.214] using provided credentials.
2019-05-29 17:06:13,331 INFO  [Thread-256364]-util.SSHUtil: Connected to host [10.99.2.214] using provided credentials.
2019-05-29 17:06:13,331 INFO  [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell --> Opening a channel for communication.
2019-05-29 17:06:13,331 INFO  [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell --> Channel for communication opened successfully.
2019-05-29 17:06:13,332 INFO  [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell --> Channel connected successfully.
2019-05-29 17:06:13,332 INFO  [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell -->  Executing command su
2019-05-29 17:36:13,340 ERROR [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell -->  Error in command execution Expect operation fails (timeout: 1800000 ms) for matcher: contains('Password:')
2019-05-29 17:36:13,340 INFO  [Thread-256364]-util.SSHUtil: executeCmdWithChannelShell -->  Executing command ssh-agent bash
2019-05-29 17:36:13,341 ERROR [Thread-256364]-avadapter.AvamarUtil: changeAvamarPasswords -->Failed to execute change-passwords command on avamar utility node

 

I:      
  
2019-10-07 09:55:24,103 ERROR [Thread-7562]-avadapter.AvamarUtil: changeAvamarPasswords -->Failed to execute change-passwords command on avamar utility node java.io.IOException: Pipe closed
    at java.io.PipedInputStream.checkStateForReceive(PipedInputStream.java:260)
    at java.io.PipedInputStream.receive(PipedInputStream.java:226)
    at java.io.PipedOutputStream.write(PipedOutputStream.java:149)
    at java.io.OutputStream.write(OutputStream.java:75)

2019-10-07 09:55:24,103 ERROR
[Thread-7562]-appliancecredentialsmanager.ApplianceCredentialsManager:changeAvamarPasswords -->Error occured while changing avamar OS passwords.com.emc.vcedpa.common.exception.ApplianceException: Failed to change the password of avamar.
    at com.emc.vcedpa.avadapter.AvamarUtil.changeAvamarPasswords(AvamarUtil.java:586)
    at com.emc.vcedpa.appliancecredentialsmanager.ApplianceCredentialsManager.changeAvamarPasswords(ApplianceCredentialsManager.java:1244)
    at com.emc.vcedpa.appliancecredentialsmanager.ApplianceCredentialsManager.lambda$getChangeCredentialsTask$1(ApplianceCredentialsManager.java:1008)
    at java.lang.Thread.run(Thread.java:748)

 

Resolution

Obejściem tego problemu jest ręczne wykonanie skryptu "change-passwords" jako użytkownik "root" z węzła Avamar Utility AVE. Skrypt "change-passwords" jest sterowany za pomocą menu, a po zakończeniu skryptu usługa ACM rozpoznaje, że nastąpiła zmiana hasła i w związku z tym wyświetla monit na pulpicie nawigacyjnym ACM dla komponentu AVE: "Backup Server", że hasło użytkownika "admin" systemu operacyjnego serwera kopii zapasowych nie jest zsynchronizowane. Zaktualizuj najnowsze hasło". Gdy pojawi się ten komunikat, kliknij go i podaj nowe wspólne hasło ACM:      
 
kA23a000000GC7iCAG_2_0


Uwagi:      
Oprócz aktualizacji haseł administratora i hasła użytkowników root systemu operacyjnego w węźle Avamar Utility Node AVE skrypt "change-passwords" monituje również o aktualizację haseł czterech użytkowników Avamar Server. Są to:    
  • Moduł MCUser
  • Wyświetl użytkownika
  • root
  • repluser
Efektem końcowym aktualizacji tych czterech dodatkowych haseł użytkownika jest wyświetlenie kolejnego komunikatu na pulpicie nawigacyjnym ACM po zsynchronizowaniu pierwszego hasła administratora systemu operacyjnego serwera kopii zapasowych. Ta druga wiadomość brzmi:   Hasło użytkownika "root", "MCUser", "repluser" i "viewuser" serwera kopii zapasowych nie jest zsynchronizowane. Zaktualizuj najnowsze hasło.' :
 
kA23a000000GC7iCAG_2_1
 

KROKI:     
  1. Zaloguj się do ACM i sprawdź, czy elementy świecą na zielono. Jeśli istnieje jakikolwiek element, który nie jest wyświetlany na zielono, należy najpierw rozwiązać ten problem
  2. Korzystając z klienta SSH, takiego jak putty.exe, połącz się z węzłem Avamar Utility Node jako administrator użytkownika. Hasło jest oryginalnym hasłem przed wywołaniem zmiany hasła z ACM
  3. Wydaj polecenie "unset TMOUT", aby zatrzymać przekroczenie limitu czasu sesji SSH administratora
  4. Przełącz użytkownika na użytkownika root — wydanie polecenia:  "su -"
  5. Wydaj polecenie "unset TMOUT", aby zatrzymać przekroczenie limitu czasu głównej sesji SSH
  6. zduplikuj sesję SSH jako administrator do węzła Avamar Utility Node, a następnie przełącz użytkownika na użytkownika root, tj. powtórz kroki 2, 3, 4 i 5. Jest to ważne, aby upewnić się, że nie zostaniesz zablokowany w węźle Avamar Utility Node po zmianie hasła użytkownika root i administratora systemu operacyjnego.
  7. Z tej drugiej sesji SSH do węzła Avamar Utility Node wykonaj polecenie: "change-passwords" i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.  
  8. W pierwszym monicie odpowiedz nie:     
root@ave:~/#: zmiana-haseł
[zmień hasła w wersji 1.32]
Tożsamość dodana: /root/.ssh/rootid (/root/.ssh/rootid)
Tożsamość dodana: /root/.ssh/rootid (/root/.ssh/rootid)
 
Czy chcesz określić jedno lub więcej dodatkowych haseł SSH bez hasła
    Klucze prywatne, które są autoryzowane dla operacji root?
Odpowiedź n(o) tutaj, chyba że istnieją znane niespójności w
    ~root/.ssh/authorized_keys między różnymi węzłami.
Należy pamiętać, że następujący klucz będzie używany automatycznie (tj.
    Nie ma potrzeby ponownego określania go tutaj):
      /root/.ssh/rootid

y(es), n(o), h(elp), q(uit/exit): nie
  1. Pozostałe monity o zaktualizowanie hasła administratora i hasła root systemu operacyjnego. Po zakończeniu pojawi się monit o aktualizację dodatkowych czterech wewnętrznych haseł użytkowników Avamar dla użytkowników: MCUser, root, repluser i viewuser. Ponadto prosi o aktualizację kluczy SSH dla użytkowników root systemu operacyjnego. Pamiętaj, aby wybrać opcję Tak, aby zaktualizować klucze SSH użytkowników root i administratorów systemu operacyjnego. Poniżej znajdują się pozostałe aktualizacje:    
--------------------------------------------------------
Poniżej przedstawiono test autoryzacji roota systemu operacyjnego z aktualnie
    załadowany klucz(e) SSH.

    Jeśli test autoryzacji zakończy się niepowodzeniem, być może brakuje
    Odpowiedni klucz prywatny, np. rootid lub dpnid.
        -> W takim przypadku uruchom ponownie ten program i, gdy pojawi się monit,
           określ liczbę wymaganych plików kluczy prywatnych SSH
           w celu ukończenia operacji root.

Starting root authorization test with 600 second timeout...
End of root authorization test.
--------------------------------------------------------

Zmienić hasła systemu operacyjnego (logowania)?
Y(ES), N(O), Q(UIT/EXIT): TAK
Zmień hasła: INFO: Każde hasło systemu operacyjnego zostanie zmienione lokalnie bez dalszego monitowania, gdy tylko (dwukrotnie) wprowadzisz prawidłowe hasło.

--------------------------------------------------------
Zmienić hasło systemu operacyjnego dla "admin"?
Y(ES), N(O), Q(UIT/EXIT): TAK
Wprowadź nowe hasło systemu operacyjnego (login) dla użytkownika "admin".

(Entering an empty (blank) line twice quits/exits.)
>Ponownie wprowadź to samo hasło systemu operacyjnego.

(Entering an empty (blank) line twice quits/exits.)
>Zmiana hasła dla administratora.
Zmień hasła: INFO: hasło administratora systemu operacyjnego zostało zaktualizowane na _tym_ hoście.
Zmień hasła: INFO: hasło nie zostanie przywrócone, jeśli później odmówisz aktualizacji haseł/haseł.
Zaakceptowano hasło systemu operacyjnego dla "admin".

--------------------------------------------------------
Zmienić hasło systemu operacyjnego na "root"?
Y(ES), N(O), Q(UIT/EXIT): TAK
Wprowadź nowe hasło systemu operacyjnego (login) dla użytkownika "root".

(Entering an empty (blank) line twice quits/exits.)
>Ponownie wprowadź to samo hasło systemu operacyjnego.

(Entering an empty (blank) line twice quits/exits.)
>Zmiana hasła dla roota.
Zmień hasła: INFO: hasło użytkownika root systemu operacyjnego zostało zaktualizowane na _tym_ hoście.
Zmień hasła: INFO: hasło nie zostanie przywrócone, jeśli później odmówisz aktualizacji haseł/haseł.
Zaakceptowano hasło systemu operacyjnego dla użytkownika "root".

--------------------------------------------------------
Wygenerować nowe klucze SSH?
Y(ES), N(O), H(ELP), Q(UIT/EXIT): TAK

--------------------------------------------------------
Zmienić hasła do Avamar Server?
Y(ES), N(O), Q(UIT/EXIT): TAK

--------------------------------------------------------
Wprowadź AKTUALNE hasło serwera dla "root"

(Dwukrotne wpisanie pustego (pustego) wiersza powoduje zakończenie/wyjście).
>Sprawdzanie hasła głównego serwera Avamar (limit czasu 1200 sekund)...
Avamar Server current root password accepted.

--------------------------------------------------------
Zmienić hasło do serwera Avamar dla "MCUser"?
Y(ES), N(O), Q(UIT/EXIT): TAK
Wprowadź nowe hasło serwera Avamar dla użytkownika "MCUser".

(Entering an empty (blank) line twice quits/exits.)
>Wprowadź ponownie to samo hasło do serwera Avamar.

(Entering an empty (blank) line twice quits/exits.)
>Zaakceptowano hasło serwera Avamar dla "MCUser".

--------------------------------------------------------
Zmienić hasło do serwera Avamar na "root"?
Y(ES), N(O), Q(UIT/EXIT): TAK
Wprowadź nowe hasło Avamar Server dla użytkownika "root".

(Entering an empty (blank) line twice quits/exits.)
>Wprowadź ponownie to samo hasło do serwera Avamar.

(Entering an empty (blank) line twice quits/exits.)
>Zaakceptowano hasło serwera Avamar dla użytkownika "root".

--------------------------------------------------------
Zmienić hasło do serwera Avamar na "repluser"?
Y(ES), N(O), Q(UIT/EXIT): TAK
Wprowadź nowe hasło serwera Avamar dla użytkownika "repluser".

(Entering an empty (blank) line twice quits/exits.)
>Wprowadź ponownie to samo hasło do serwera Avamar.

(Entering an empty (blank) line twice quits/exits.)
>Zaakceptowano hasło serwera Avamar dla "replusera".

--------------------------------------------------------
Zmienić hasło użytkownika wyświetlania?
Y(ES), N(O), H(ELP), Q(UIT/EXIT): TAK
Sprawdzanie stanu serwera administratora...
EUA2-Wprowadź NOWE hasło użytkownika widoku.
Wprowadź? lub pomoc za pomoc.

(Entering an empty (blank) line twice quits/exits.)
>W celu weryfikacji wprowadź ponownie NOWE hasło użytkownika wyświetlania.
Wprowadź? lub pomoc za pomoc.

(Entering an empty (blank) line twice quits/exits.)
>BŁĄD: wpisy "viewuser" nie są zgodne.
        Please try again.
Wprowadź NOWE hasło użytkownika wyświetlania.
Wprowadź? lub pomoc za pomoc.

(Entering an empty (blank) line twice quits/exits.)
>W celu weryfikacji wprowadź ponownie NOWE hasło użytkownika wyświetlania.
Wprowadź? lub pomoc za pomoc.

(Entering an empty (blank) line twice quits/exits.)
>--------------------------------------------------------
Czy chcesz kontynuować zmiany w wybranym węźle?
        Answering y(es) will proceed to make changes.
        Odpowiedź n(o) lub q(uit) nie będzie kontynuowana.

Y(ES), N(O), Q(UIT/EXIT): TAK
Zmiana haseł systemu operacyjnego...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Zakończono zmianę haseł systemu operacyjnego...
Zmiana haseł do Avamar Server...
Wstrzymywanie konserwacji zadań cron
Sprawdzanie stanu serwera administratora...
Stopping Administrator Server...
Starting process of updating Administrator and Enterprise Manager configurations...
Running script to update Administrator and Enterprise Manager configurations on node 0.s...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Done with updating Administrator configuration on node 0.s...
Starting process of updating client configurations...
Uruchamianie skryptu w celu aktualizacji konfiguracji klienta na wszystkich +...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Updating client configuration on node 0.0...
Done updating client configuration on 0.0...
Starting process of updating mccli configuration files...
Running script to update mccli configuration files on node set "0.0"...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Done with updating mccli configuration files on node 0.0...
Checking Administrator Server status...
Starting Administrator Server...
Podsystem "Zatrzymanie dtlt" (DT/LT)
Podsystem rozruchu DTLT (DT/LT)
Wznawianie zadań cronów konserwacji
Rozpoczyna się proces zmiany kluczy SSH...
Uruchamianie skryptu w celu aktualizacji kluczy SSH w węźle 0.s...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Zakończono aktualizowanie kluczy SSH w węźle 0.s...
Rozpoczęcie procesu aktualizacji hasła użytkownika wyświetlania...
Checking Administrator Server status...
Stopping Administrator Server...
Uruchamianie skryptu w celu aktualizacji hasła użytkownika widoku mcdb w węźle 0.0...
[Logging to /usr/local/avamar/var/change-passwords.log...]
Zakończono aktualizację hasła użytkownika widoku mcdb w węźle 0.0...
Checking Administrator Server status...
Starting Administrator Server...

--------------------------------------------------------
Zrobić.
UWAGI:
- Jeśli miałeś niestandardowe klucze publiczne obecne w
      authorized_keys plików wszystkich użytkowników systemu operacyjnego Avamar
      (admin, root) Należy pamiętać, że
      Może być konieczne ponowne dodanie kluczy niestandardowych.
- Jeśli mccli (interfejs wiersza poleceń administratora)
      jest używany z poziomu wszystkich kont użytkowników zdalnych, a następnie zaktualizuj
      Hasło w kopii MCCLI każdego konta zdalnego
      preferences/plik konfiguracyjny, typowo
      ~USER/.avamardata/var/mc/cli_data/prefs/mcclimcs.xml.
- Pamiętaj, aby wznowić harmonogramy za pomocą
        Graficzny interfejs użytkownika administratora lub za pomocą polecenia "dpnctl start sched".
root@idpa-avamar-lj:~/#:



  1. Zgodnie z komunikatami ważne jest, aby potwierdzić, że plik konfiguracyjny preferencji mccli został zaktualizowany. Najlepiej sprawdzić to poprzez wydanie polecenia mccli jako użytkownik admin i użytkownik root. Poniżej znajduje się przykład jako użytkownik root. Oba polecenia powinny działać. Jeśli nie, zaktualizuj plik ~USER/.avamardata/var/mc/cli_data/prefs/mcclimcs.xml:     
 
root@idpa-avamar-lj:~/#: pokaz użytkownika mccli
0,23000,Polecenie CLI zostało wykonane pomyślnie.
Nazwa Rola Domain, Domain, Authenticator
------------- ------------------------ ------ ---------------------------
Administrator MCUser / System uwierzytelniania Axion
backuponly Kopia zapasowa tylko użytkownika / systemu uwierzytelniania Axion
backuprestore Tworzenie kopii zapasowej/przywracanie użytkownika / systemu uwierzytelniania Axion
repluser Replication User / Axion Authentication System
restoreonly Przywracanie (odczyt) tylko użytkownik / system uwierzytelniania Axion
root Administrator / Axion Authentication System

root@idpa-avamar-lj:~/#:
  2. Ponadto, zgodnie z komunikatem, ważne jest również ponowne uruchomienie harmonogramu tworzenia kopii zapasowych, ponieważ jest on wyłączony po zatrzymaniu usługi MCS i ponownym uruchomieniu podczas zmiany hasła:      
root@idpa-avamar-lj:~/#: dodano tożsamość stanu
dpnctl: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key)
dpnctl: INFO: gsan status: up
dpnctl: INFO: MCS status: up.
dpnctl: INFO: status emt: w górę.
DPNCTL: INFO: Backup scheduler status: down.
dpnctl: INFO: Maintenance windows scheduler status: enabled.
dpnctl: INFO: Unattended startup status: disabled.
dpnctl: INFO: avinstaller status: up.
dpnctl: INFO: ConnectEMC status: up.
dpnctl: INFO: ddrmaint-status usługi: w górę.

root@idpa-avamar-lj:~/#: dpnctl start sched
Identity dodano: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key)
dpnctl: INFO: Wznawianie tworzenia harmonogramu kopii zapasowych...
DPNCTL: INFO: Wznowiono planowanie tworzenia kopii zapasowych.
DPNCTL: INFO: Nie istnieje /usr/local/avamar/var/dpn_service_status.
root@idpa-avamar-lj:~/#:
  1. Na koniec sprawdź, czy hasła administratora systemu operacyjnego i hasła użytkownika root zostały pomyślnie zaktualizowane. Aby to zrobić, otwórz nową sesję SSH na serwerze kopii zapasowych Avamar i zaloguj się jako administrator przy użyciu zaktualizowanego wspólnego hasła. Po pomyślnym zalogowaniu przełącz użytkownika na użytkownika root za pomocą polecenia "su -" i wprowadź to samo zaktualizowane hasło wspólne. Po zweryfikowaniu obu użytkowników
  2. Przełącz się na pulpit nawigacyjny ACM i odśwież ekran. Powinien zostać wyświetlony następujący komunikat. Kliknij wiadomość i wprowadź to samo wspólne hasło, które jest używane dla administratora, a następnie zapisz hasło. Po pomyślnym zapisaniu powinien zostać wyświetlony komunikat "Backup Server, password updated successfully":     
kA23a000000GC7iCAG_2_2
  1. Po pomyślnym zaktualizowaniu hasła serwera kopii zapasowej pojawi się drugi komunikat. Kliknij wiadomość i wprowadź to samo wspólne hasło, które jest używane dla administratora, a następnie zapisz hasło. Po pomyślnym zapisaniu zostanie wyświetlony komunikat informujący o pomyślnym zaktualizowaniu hasła:
kA23a000000GC7iCAG_2_3
  1. W tym momencie na płycie głównej ACM wszystkie komponenty powinny być wyświetlane na zielono. Na tym kończy się obejście problemu z hasłem systemu operacyjnego w przypadku DP4400 AVE 

Additional Information

W momencie pisania tego artykułu monity dotyczące skryptu zmiany haseł były zgodne z tym artykułem. Monity te mogą ulegać niewielkiej zmianie w zależności od wersji, dlatego zaleca się ich uważne przeczytanie, aby upewnić się, że nie określono niewłaściwego wyboru.

Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software
Article Properties
Article Number: 000174414
Article Type: Solution
Last Modified: 13 Jan 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.