Avamar -Jobs schlagen aufgrund eines DD Boost-Problems mit dem Fehler "user has insufficient privileges" fehl 209416

Summary: Backups und Wiederherstellungen schlagen auf dem Avamar-Server, auf dem die DD Boost-Bibliothek 3.4.0 ausgeführt wird, aufgrund von Data Domain-Problem #209416 mit der Meldung "user has insufficient privileges" fehl. Dieses Problem kann dazu führen, dass Ihr DD Boost-Nutzer gesperrt wird, da die Clientauthentifizierung auf Data Domain für den Backup-/Wiederherstellungsprozess fehlschlägt. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dieses Problem kann dazu führen, dass der DD Boost-Nutzer gesperrt wird, wodurch die Avamar-Wartungsaufgaben fehlschlagen können.

Der Fehler "Nutzer verfügt über unzureichende Berechtigungen" ist ein allgemeiner Fehler. Überprüfen Sie daher die ddrmaint.log auf Details zum Problem. 

Im Backup- oder Wiederherstellungsprotokoll wird der folgende Fehler angezeigt:      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Führen Sie den folgenden Befehl aus, um die Version des ddboost-Plug-ins auf Avamar zu überprüfen: 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
Oder  
grep -i engine ddrmaint.log | tail -1
Durchsuchen Sie das Protokoll mit der IP-Adresse oder der Client-ID des Avamar -Clients. Im DDFS-Protokoll (/ddr/var/log/debug/ddfs.info) auf Data Domain werden die folgenden Fehler angezeigt: 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Damit wird bestätigt, dass Data Domain das von Backups und Wiederherstellungen bereitgestellte Kennwort nicht entschlüsseln konnte.
 
Hinweis: Dieses Problem kann auch auftreten, wenn auf dem Client-Backup v7.5.0 ausgeführt wird, selbst wenn der Server auf v7.5.1+ aktualisiert wurde. Der Grund dafür ist, dass der Client während des Backups eine direkte Verbindung zur Data Domain herstellt. Dabei wird die ddboost-Plug-in-Version vom Client verwendet.

In diesem Fall zeigt das Client-avtar-Protokoll während des Backups die folgenden Fehler an:      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
Und das ddfs.info Protokoll zeigt wieder Fehler wegen "beschädigter Zugangsdaten" aus der Zeit des Backups an: 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 verwendet die DD Boost-Bibliotheksversion: 3.4.0.2 besteht dieses Problem in der DD Boost-Bibliothek 3.4.0 und wurde in 3.4.1 behoben.

Die Avamar-Serverversion 7.5.1 verfügt über die DD Boost-Bibliotheksversion: 3.4.1.1. darin eingebettet. 

Ab dem Plug-in 3.4 führt Data Domain die Authentifizierung mithilfe von PSKs (Pre-Shared Keys) durch, die aus dem Kennwort generiert werden. Der Client erzeugt einen PSK aus dem von der Anwendung bereitgestellten Kennwort, verschlüsselt einige Authentifizierungsinformationen und sendet sie an DDR. Der DDR versucht, denselben PSK zu erzeugen (da ihm das Kennwort eines Nutzers bereits bekannt ist) und die vom Client gesendeten Inhalte zu entschlüsseln und zu validieren.

Wenn DD Boost ifgroup aktiviert ist, fällt Data Domain in den neu verbundenen Pfad, der den PSK-Verbindungspfad aufruft und sich auf das Kennwort stützt crypt_hash das in der nfs_conn Struktur gespeichert ist. Beim DD Boost-Plug-in 3.4.0.2 erzeugt Data Domain das Kennwort jedoch nicht erneut crypt_hash während der erneuten Verbindung. Der PSK-Schlüssel ist auf dem Client und dem DDR nicht identisch, daher der Entschlüsselungsfehler.

Die Korrektur ist in der DD Boost-Bibliothek 3.4.1.0-574461 verfügbar.

Resolution

Dauerhafte Lösung:
Führen Sie ein Upgrade des Avamar Servers und aller Clients mit v7.5.0 auf v7.5.1-101 oder höher durch.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.