Os trabalhos do Avamar falham com o erro "user has insufficient privileges" devido a um problema do DD Boost 209416
Summary: Os backups e as restaurações falham com a mensagem "user has insufficient privileges" no Avamar Server que executa a biblioteca DD Boost 3.4.0 devido ao problema do Data Domain #209416. Esse problema pode fazer com que o usuário do DD Boost seja bloqueado, pois a autenticação do client falha no Data Domain para o processo de backup/restauração. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Esse problema pode fazer com que o usuário do DD Boost seja bloqueado, o que pode fazer com que as tarefas de manutenção do Avamar falhem.
O erro "user has insufficient privileges" é um erro genérico. Portanto, analise o ddrmaint.log para obter detalhes sobre o problema.
No log de backup ou restauração, o seguinte erro é visto:
Nesse caso, o log avtar do client mostra os seguintes erros durante o backup:
O erro "user has insufficient privileges" é um erro genérico. Portanto, analise o ddrmaint.log para obter detalhes sobre o problema.
No log de backup ou restauração, o seguinte erro é visto:
avtar Error <10512>: Problem logging into the DDR server index:1 avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights avtar Error <10512>: Problem logging into the DDR server index:1Para verificar a versão do plug-in ddboost no Avamar, execute o seguinte comando:
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"
Ou
grep -i engine ddrmaint.log | tail -1Pesquise o log com o IP ou ID do client do Avamar Client. No log do DDFS (/ddr/var/log/debug/ddfs.info) no Data Domain, os seguintes erros são vistos:
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost. Error is 7:Authentication failure 06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896 06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed 06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Isso confirma que o Data Domain não conseguiu descriptografar a senha fornecida pelos backups e restaurações.
Nota: Esse problema também poderá ocorrer se o backup do client estiver executando a versão v7.5.0, mesmo que o servidor tenha recebido upgrade para a versão v7.5.1+. Isso ocorre porque o client está fazendo uma conexão direta com o Data Domain durante o backup; a versão do plug-in ddboost do client é usada.
Nesse caso, o log avtar do client mostra os seguintes erros durante o backup:
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2). 2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled. 2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed [ 6148] [3492] Thu Oct 11 12:05:26 2018 ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted) [ 6148] [4932] Thu Oct 11 12:04:58 2018 ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory) 2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075Além disso, o registro de ddfs.info mostra novamente erros de "credenciais corrompidas" na hora do backup:
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Cause
O Avamar Server 7.5.0 usa a versão da biblioteca do DD Boost: 3.4.0.2, esse problema existe na biblioteca do DD Boost 3.4.0 e foi corrigido na versão 3.4.1.
O Avamar Server versão 7.5.1 tem a versão da biblioteca do DD Boost: 3.4.1.1. embutido nele.
A partir do plug-in 3.4, o Data Domain faz a autenticação usando PSKs (Pre-shared-Keys, chaves pré-compartilhadas) geradas a partir da senha. O client gera uma PSK a partir da senha fornecida pelo aplicativo, criptografa algumas informações de autenticação e as envia ao DDR. O DDR tenta gerar o mesmo PSK (já que ele já sabe a senha de um usuário) e descriptografar o conteúdo que o cliente enviou e validar.
Com o ifgroup do DD Boost ativado, o Data Domain se enquadra no caminho reconectado, que chama o caminho de conexão PSK e depende do crypt_hash de senha armazenado na estrutura nfs_conn. No entanto, no plug-in 3.4.0.2 do DD Boost, o Data Domain não gera o crypt_hash de senha novamente durante a reconexão. A chave PSK não é a mesma no client e no DDR, portanto, a falha de descriptografia.
A correção está disponível na biblioteca do DD Boost 3.4.1.0-574461.
Resolution
Correção permanente:
Faça upgrade do Avamar Server e de todos os clients que executam a v7.5.0 para a v7.5.1-101 ou posterior.
Faça upgrade do Avamar Server e de todos os clients que executam a v7.5.0 para a v7.5.1-101 ou posterior.
Affected Products
AvamarProducts
Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open StorageArticle Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.