Solutions Enabler: Polecenia Symcli nie powiodły się z błędem "Kontrola dostępu Symmetrix odmówiła żądania"

Macierz miała włączone

zarówno symauth, jak i symacl Znaleziono następujące błędy w symapi.log:

08/05/2022 00:33:34.580 15624 17628 EMC:SYMCFG read_authz_file Error reading Authz rules from array: 000497xxxxxx - 2545

08/05/2022 00:33:35.511 9944 20468 EMC:SYMSNAPVX read_authz_file Error reading Authz rules from array: 000497xxxxxx - 2545

08/05/2022 00:33:36.527 9944 20468 EMC:SYMSNAPVX read_authz_file Error reading Authz rules from array: 000497xxxxxx - 2545

08/05/2022 00:33:37.543 9944 20468 EMC:SYMSNAPVX read_authz_file Error reading Authz rules from array: 000497xxxxxx - 2545

08/05/2022 00:33:38.558 9944 20468 EMC:SYMSNAPVX Failed to load information. remote: 0, remote_hop_num: 0, retries: 3, sts: SYMAPI_C_ACCESS_DENIED - error msg: Symmetrix access control denied the request

08/05/2022 00:33:39.426 19788 20016 EMC:SYMSNAPVX read_authz_file Error reading Authz rules from array: 000497xxxxxx - 2545

Powyższy błąd wskazuje na problem z symauth. Jednak sprawdzone

 "symauth show -username"

i zweryfikował, że ten sam użytkownik jest widoczny w

 "symauth -sid <SID> list -users"

 Sprawdzono również

"symacl -sid <sid> show accgroup Admingrp" 

i zweryfikował, że host jest częścią symacl AdminGrp.

Próbowałem zsynchronizować, uruchamiając

"symcfg sync -sid <SID>"

jednak synchronizacja nie powiodła się z powodu błędu "Kontrola dostępu Symmetrix odmówiła żądania".

Problem z dostępem do symacl

Uruchom

"symacl -sid XXX show accgroup AdminGrp -acl"

i sprawdź, czy AdminGrp ma wymagany typ dostępu

C:\>symacl -sid XXX show accgroup AdminGrp -acl

Symmetrix ID: 000197XXXX
    Group Name                            Pool Name                            Access Type
    ----------------------------------    ---------------------------------    -----------
    AdminGrp                              ALL_DEVS                             ADMIN
    AdminGrp                              ALL_DEVS                             ALL

W powyższych danych wyjściowych widzimy, że AdminGrp ma typ dostępu ADMIN i ALL., będziemy musieli dodać inny odpowiedni dostęp do uruchamiania poleceń, na przykład BASE i BASECTRL, aby uruchomić inne polecenia.


Więcej informacji na temat dostępnych uprawnień kontroli dostępu można znaleźć w Podręczniku kontroli i zarządzania macierzą: 


https://dl.dell.com/content/docu95463Polecenie przyznania uprawnień grupie dostępu:

symacl -sid <SID> commit -file <FileName>

Gdzie plik zawiera:

grant access=AccessType to accgroup GroupName for accpool PoolName | ALL | NON-POOLED devs

Po przyznaniu dostępu BASE i BASECTRL do AdminGrp mogliśmy wykonywać polecenia bez żadnych błędów.

C:\>symacl -sid XXX show accgroup AdminGrp -acl

Symmetrix ID: 00019XXXXXX
    Group Name                            Pool Name                            Access Type
    ----------------------------------    ---------------------------------    -----------
    AdminGrp                              ALL_DEVS                             ADMIN
    AdminGrp                              ALL_DEVS                             ALL
    AdminGrp                              ALL_DEVS                             BASECTRL
    AdminGrp                              ALL_DEVS                             BASE