メインコンテンツまでスキップ

ONTAP 9.2 以降では、 CIFS パスワードのあとに CIFS クライアントアクセスが失敗します リセットします

Views:
1,027
Visibility:
Public
Votes:
1
Category:
ontap-9
Specialty:
NAS
Last Updated:

環境

  • ONTAP 9.2
  • CIFS

問題    

  • CIFS クライアントが CIFS サーバへの認証に失敗しました
  • EMS errors()secd.cifsAuth.problemレポートKRB5KRB_AP_ERR_BAD_INTEGRITY""

12/31/2018 14:12:31 cluster-01    ERROR      secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
  [  2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[    4] FAILURE: CIFS authentication failed

  • 手動またはスケジュール設定された CIFS パスワードのリセット
    • 次のコマンドを実行して、が最後に実行された時間を確認します SVM のパスワードがリセットされました

cluster::> vserver cifs domain password schedule show -vserver <vserver>

     Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
     Schedule Interval: 4   week(s)
Schedule Randomized Within: 120 minute(s)
          Schedule: Sun@01:00
      Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset

原因

  • ONTAP 9.2 以降で変更を行うと、パスワードがリセットされたために Kerberos チケットが無効になった場合に、セッションのセットアップ要求が別の応答を受信します。 
  • 9.2 KRB_APP_ERR_MODIFIED より前のバージョンでは、クライアントに CIFS サーバの Kerberos チケットの更新を求められていました。
  • 9.2以降 STATUS_SERVER_UNAVAILABLE (0xC0000466STATUS_UNSUCCESSFUL (0xC0000001) のリリースでは、クライアントにはまたはが返されます。
  • この応答により、クライアントは Kerberos チケットを更新しません。
  • これklist purgeにより、 Kerberos チケットがからパージされるか、クライアントがリブートされるか、 Kerberos チケットのタイムアウト(デフォルトは 10 時間)を待つまで、クライアントは認証を繰り返し失敗します。

解決策

  • バグ1206384の修正されたリリースにアップグレードしてください
  • 回避策
  1. 影響を受けたクライアントで、リブート、ログオフ、またはを実行して klist purge 古いKerberosチケットを削除します
  2. クライアントが Kerberos チケットを更新するのを待ちます。デフォルトでは、 10 時間以内に設定する必要があります
  3. IPアドレスを使用してCIFSサーバにアクセスし、Kerberos認証およびNTLM認証を強制的に使用しないようにします
  • アップグレードを実行するまで、次の手順を実行します。
    • スケジュールされたパスワードリセットを無効にします
    • vserver cifs password-reset -vserver <SVM_NAME>コマンドは使用しないでください。

追加情報

Sign in to view the entire content of this KB article.

New to NetApp?

Learn more about our award-winning Support

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.