クライアントがユーザーUPNではなくクライアントUPNを使用すると、NFSサービスのKerberos認証が失敗します

最後の更新
PDFとして保存

Views:: 87

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: nas

Last Updated:

環境

Kerberos認証されたNFS
ONTAP 9

問題

sec=krb5を使用してボリュームをマウントすると、アクセス拒否エラーでマウントが失敗します

mount.nfs4: trying text-based options 'sec=krb5,vers=4.0,addr=10.x.x.x,clientaddr=10.x.x.x' mount.nfs4: mount(2): Permission denied mount.nfs4: access denied by server while mounting 10.x.x.x:/test_kerberos

クライアントシステムがクライアントUPN（host/<client FQDN>@<KERBEROS REALM>)）をユーザUPNではなく送信
暗号化なしで同じボリュームをマウントすると問題なく完了します
ONTAPは以下のエラーを報告します：

node1 ERROR secd.nfsAuth.problem: vserver (vs1) General NFS authorization problem. Error: RPC accept GSS token procedure failed [ 4 ms] Acquired NFS service credential for logical interface 1061 (SPN='nfs/LIF.domain.com@domain.com'). [ 6] GSS_S_COMPLETE: client = 'host/client1.domain@domain' [ 6] Trying to map SPN 'host/client1.domain@domain' to UNIX user 'host' using implicit mapping [ 6] Unix User Name found in Name Service Negative Cache [ 8] Unable to map SPN 'host/client1.domain@domain' **[ 8] FAILURE: Unable to map Kerberos NFS user 'host/client1.domain@domain' to appropriate UNIX user [ 12] Failed to accept the context: The routine completed successfully (minor: Unknown error). Result = 6916 node1 ERROR secd.kerberos.lookupFailed: Unable to map Kerberos user (host/client1.domain@domain) to appropriate UNIX user on Vserver (vs1).