Los trabajos de Avamar fallan con el error "el usuario tiene privilegios insuficientes" debido al problema de DD Boost 209416

Summary: Los respaldos y las restauraciones fallan con el mensaje "user has insufficient privileges" en el servidor Avamar que ejecuta DD Boost Library 3.4.0 debido al problema #209416 de Data Domain. Este problema puede provocar que el usuario de DD Boost se bloquee, ya que la autenticación del cliente falla en Data Domain para el proceso de respaldo/restauración. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Este problema puede hacer que el usuario de DD Boost se bloquee, con lo cual las tareas de mantenimiento de Avamar pueden fallar.

El error "user has insufficient privileges" es un error genérico. Por lo tanto, revise el ddrmaint.log para obtener detalles sobre el problema. 

En el registro de respaldo o restauración, se observa el siguiente error:      
avtar Error <10512>: Problem logging into the DDR server index:1 
avtar Error <10542>: Data Domain server "DD.X.X.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
avtar Error <10512>: Problem logging into the DDR server index:1
Para verificar la versión del plug-in de ddboost en Avamar, ejecute el siguiente comando: 
strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"​
O bien,  
grep -i engine ddrmaint.log | tail -1
Busque en el registro con la IP o el ID del cliente Avamar. En el registro de DDFS (/ddr/var/log/debug/ddfs.info) en Data Domain, se observan los siguientes errores: 
06/11 09:18:31.347 : WARNING: Failed to verify the password for user ddboost.  Error is 7:Authentication failure
06/11 09:18:31.348 : nfs_rpc_svc_idx0 accepted 2e000001ba 201 from X.X.X.X:54896
06/11 09:18:31.354 : ost_decrypt_mnt_sec_request(): EVP_DecryptFinal_ex failed
06/11 09:18:31.354 : nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host X.X.X.X - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)
Esto confirma que Data Domain no pudo descifrar la contraseña proporcionada por los respaldos y las restauraciones.
 
Nota: Este problema también puede ocurrir si el cliente que respalda ejecuta v7.5.0, incluso si el servidor se actualizó a v7.5.1+. Esto se debe a que el cliente establece una conexión directa a Data Domain durante el respaldo, se utiliza la versión del plug-in ddboost del cliente.

En este caso, el registro avtar del cliente muestra los siguientes errores durante el respaldo:      
2018-10-11 12:05:09 avtar Info <19155>: - Establishing a connection to the Data Domain system with certificate authentication (Connection mode: A:2 E:2).
2018-10-11 12:05:09 avtar Info <18120>: DDR trace is enabled.
2018-10-11 12:05:26 avtar Warning <18133>: Calling DDR_WRITE returned result code:(5075) the user has insufficient access rights message:DDRIO_Write::WriteToDDR: ddp_write failed
[ 6148] [3492] Thu Oct 11 12:05:26 2018
    ddp_write() failed Offset 0, BytesToWrite 16144, BytesWritten 0 Err: 5075-nfsproc3_ostmntsec_3 failed (nfs: Operation not permitted)
 [ 6148] [4932] Thu Oct 11 12:04:58 2018
    ddp_access() failed, Path avamar-1537798766/STAGING/77e75ce4a380b20c7572c3053e8409520d37c852/BACKUP-914CF43D1553E172BA1E7177D890CA1C77xxxxxx, mode 0 Err: 5004-nfs lookup failed (nfs: No such file or directory)
2018-10-11 12:05:26 avtar Error <16709>: DDRInstance::Invoke - ddrmgr write failure result code: 5075
Y el registro de ddfs.info vuelve a mostrar errores de "credenciales dañadas" de aproximadamente el momento del respaldo: 
10/11 12:05:10.544 (tid 0x7f7b90854xxx): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 192.168.xxx.xx - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

Cause

Avamar Server 7.5.0 utiliza la versión de la biblioteca de DD Boost: En 3.4.0.2, este problema existe en la biblioteca de DD Boost 3.4.0 y se resolvió en 3.4.1.

El servidor Avamar versión 7.5.1 tiene la versión de la biblioteca de DD Boost: 3.4.1.1. incorporados en él. 

A partir del plug-in 3.4, Data Domain realiza la autenticación mediante claves previamente compartidas (PSK) generadas a partir de la contraseña. El cliente genera una PSK a partir de la contraseña proporcionada por la aplicación, cifra cierta información de autenticación y la envía a DDR. El DDR intenta generar el mismo PSK (dado que ya conoce la contraseña de un usuario) y descifrar el contenido que el cliente envió y valida.

Con DD Boost ifgroup habilitado, Data Domain cae en la ruta reconectada, que llama a la ruta de conexión PSK y depende de la contraseña crypt_hash almacenada en la estructura nfs_conn. Sin embargo, en el plug-in de DD Boost 3.4.0.2, Data Domain no vuelve a generar la contraseña crypt_hash durante la reconexión. La clave PSK no es la misma en el cliente y en el DDR, por lo que se produjo una falla de descifrado.

La corrección está disponible en la biblioteca de DD Boost 3.4.1.0-574461.

Resolution

Corrección permanente:
Actualice el servidor Avamar y todos los clientes que ejecutan la versión 7.5.0 a la versión 7.5.1-101 o posterior.

Affected Products

Avamar

Products

Avamar, Avamar Server, Avamar Virtual Edition, Data Domain, Data Domain Boost - Open Storage
Article Properties
Article Number: 000080009
Article Type: Solution
Last Modified: 20 May 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.