メインコンテンツまでスキップ

ONTAP 9.2 以降では、 CIFS パスワードのあとに CIFS クライアントアクセスが失敗します リセットします

Views:
255
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

環境

ONTAP 9.2+

問題    

  • CIFS クライアントが CIFS サーバへの認証に失敗しました
  • EMS errors()secd.cifsAuth.problemレポートKRB5KRB_AP_ERR_BAD_INTEGRITY""

12/31/2018 14:12:31 cluster-01    ERROR      secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
  [  2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[    4] FAILURE: CIFS authentication failed

  • 手動またはスケジュール設定された CIFS パスワードのリセット
    • 次のコマンドを実行して、が最後に実行された時間を確認します SVM のパスワードがリセットされました

cluster::> cifs domain password schedule show -vserver <vserver>

     Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
     Schedule Interval: 4   week(s)
Schedule Randomized Within: 120 minute(s)
          Schedule: Sun@01:00
      Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset

原因

  • ONTAP 9.2 以降で変更を行うと、パスワードがリセットされたために Kerberos チケットが無効になった場合に、セッションのセットアップ要求が別の応答を受信します。
  • 9.2 KRB_APP_ERR_MODIFIED より前のバージョンでは、クライアントに CIFS サーバの Kerberos チケットの更新を求められていました。
  • 9.2 以降Unknown (0xC0000466STATUS_UNSUCCESSFUL では、クライアントにはまたはのいずれかの応答が返されます。
  • この応答により、クライアントは Kerberos チケットを更新しません。
  • これklist purgeにより、 Kerberos チケットがからパージされるか、クライアントがリブートされるか、 Kerberos チケットのタイムアウト(デフォルトは 10 時間)を待つまで、クライアントは認証を繰り返し失敗します。

現在、この動作は ONTAP バグ1206384 で調査中です。

解決策

回避策:

  1. klist purgeをクライアントマシンからに再起動するか ' を実行します 古い Kerberos チケットを削除します
  2. クライアントが Kerberos チケットを更新するのを待ちます。デフォルトでは、 10 時間以内に設定する必要があります
  3. IP 経由で CIFS サーバにアクセスして、 Kerberos の使用を回避し、 NTLM 認証を強制的に実行します

注:

  • スケジュールされたパスワードリセットを無効にします
  • cifs password-reset -vserverコマンドは使用しないでください。

バグ 1206384 を購読して、入手可能になった時点で詳細を確認してください。

追加情報

関連記事 (他にも、 KRB5KRB_AP_ERR_BAD_INTEGRITY なぜ見られるかもしれない理由を文書化する)

CUSTOMER EXCLUSIVE CONTENT

Registered NetApp customers get unlimited access to our dynamic Knowledge Base.

New authoritative content is published and updated each day by our team of experts.

Current Customer or Partner?

Sign In for unlimited access

New to NetApp?

Learn more about our award-winning Support