NetWorker: Le connessioni AUTHC hanno esito negativo con errori HTTP 400/403

The NetWorker nsrlogin il comando ha esito negativo con HTTP 400 o 403:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

Oppure:

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

L'autenticazione NetWorker e altri tentativi di connessione al servizio di autenticazione non riescono con errori simili.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

Gli aggiornamenti di NetWorker Management Console (NMC) e NWUI (NetWorker Web User Interface) (Windows) e gli script post-aggiornamento (Linux) segnalano errori di connessione sulla porta AUTHC.

Questo problema si verifica all'esterno di NetWorker. The NetWorker nsrlogin ha anche segnalato "Connect Tunnel Failed" perché nell'ambiente è configurato un proxy HTTPS. Questa operazione può essere convalidata mediante curl :

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

Oppure:

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

L'errore specifico restituito può variare a seconda del fornitore e della configurazione proxy utilizzati. Ciò che in comune è notare che la comunicazione con la porta di autenticazione NetWorker (AUTHC) (9090 predefinita) viene reindirizzata tramite un host proxy HTTPS. L'errore restituito è un errore HTTP 4xx; 400 (richiesta non valida) o 403 (accesso negato).

L'utilizzo di un proxy HTTPS specifico per il traffico di autenticazione sulla porta 9090 non è documentato o testato in modo esplicito come configurazione supportata. I componenti di NetWorker prevedono in genere una comunicazione diretta tra i servizi, in particolare per l'autenticazione.

Rimuovere la configurazione proxy HTTP/HTTPS sul server NetWorker. Questa operazione deve essere rimossa anche da qualsiasi host NetWorker che comunica con la porta 9090 sul server NetWorker. Vedere: Processi e porte NetWorker

Sul server NetWorker eseguire:

unset https_proxy
unset http_proxy

Una volta annullate le variabili, provare nsrlogin di nuovo. In caso di esito positivo, eseguire nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Ciò indica che la comunicazione con il servizio NetWorker AUTHC è funzionante. Si prevede che altri processi che coinvolgono l'autenticazione NetWorker o la comunicazione sulla porta 9090 abbiano esito positivo.

La colonna unset annulla solo l'impostazione della variabile per la sessione di shell corrente. Se impostate come variabili di sistema o di profilo, vengono caricate automaticamente quando si apre un terminale, si riavvia il sistema o si avvia una nuova sessione della shell. È necessario eseguire le seguenti azioni per evitare che le variabili vengano caricate nella sessione o nel riavvio successivo.

Windows: controllare le variabili SYSTEM o USER e rimuovere eventuali variabili utilizzate per definire un host proxy HTTP/HTTPS.

Linux: Verificare la presenza di eventuali impostazioni delle variabili HTTP/HTTPS nei seguenti file e rimuoverli: 

• ~/.bashrc
• ~/.bash_profile
• ~/.profilo
• /etc/ambiente
• /etc/profilo
• /etc/profilo.d/*.sh