ONTAP 9.2 以降では、 CIFS パスワードのあとに CIFS クライアントアクセスが失敗します リセットします
環境
- ONTAP 9.2
- CIFS
問題
- CIFS クライアントが CIFS サーバへの認証に失敗しました
- EMS errors()
secd.cifsAuth.problem
レポートKRB5KRB_AP_ERR_BAD_INTEGRITY
""
12/31/2018 14:12:31 cluster-01 ERROR secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
[ 2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[ 4] FAILURE: CIFS authentication failed
- 手動またはスケジュール設定された CIFS パスワードのリセット
- 次のコマンドを実行して、が最後に実行された時間を確認します SVM のパスワードがリセットされました
cluster::> vserver cifs domain password schedule show -vserver <vserver>
Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
Schedule Interval: 4 week(s)
Schedule Randomized Within: 120 minute(s)
Schedule: Sun@01:00
Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset
原因
- ONTAP 9.2 以降で変更を行うと、パスワードがリセットされたために Kerberos チケットが無効になった場合に、セッションのセットアップ要求が別の応答を受信します。
- 9.2
KRB_APP_ERR_MODIFIED
より前のバージョンでは、クライアントに CIFS サーバの Kerberos チケットの更新を求められていました。 - 9.2以降
STATUS_SERVER_UNAVAILABLE (0xC0000466
STATUS_UNSUCCESSFUL (0xC0000001)
のリリースでは、クライアントにはまたはが返されます。 - この応答により、クライアントは Kerberos チケットを更新しません。
- これ
klist purge
により、 Kerberos チケットがからパージされるか、クライアントがリブートされるか、 Kerberos チケットのタイムアウト(デフォルトは 10 時間)を待つまで、クライアントは認証を繰り返し失敗します。
解決策
- バグ1206384の修正されたリリースにアップグレードしてください
- 回避策
- 影響を受けたクライアントで、リブート、ログオフ、またはを実行して
klist purge
古いKerberosチケットを削除します - クライアントが Kerberos チケットを更新するのを待ちます。デフォルトでは、 10 時間以内に設定する必要があります
- IPアドレスを使用してCIFSサーバにアクセスし、Kerberos認証およびNTLM認証を強制的に使用しないようにします
- アップグレードを実行するまで、次の手順を実行します。
- スケジュールされたパスワードリセットを無効にします
vserver cifs password-reset -vserver <SVM_NAME>
コマンドは使用しないでください。
追加情報
- 関連記事(他にも、
KRB5KRB_AP_ERR_BAD_INTEGRITY
なぜ見られるかもしれない理由を文書化する)