ONTAP 9.12.1+へのアップグレード後、無効なネームマッピングによりNFSアクセスが拒否されます
環境
- ONTAP 9.12.1以降
- NFSアクセス(NTFS secスタイルボリューム)、CIFSアクセス(NTFSまたはUnix secスタイル)
- CIFSローカルユーザーおよびグループ
問題
- ONTAP 9.12.1以降にアップグレードすると、以前にアクセス可能だったディレクトリをマウントまたはアクセスすると、アクセスが拒否されます
- セキュリティトレースは次のことを示します:
Access is denied because the UNIX user could not be mapped to a valid NT user while reading the user's access rights on an object.
- ターゲットボリュームへのパスにあるボリュームの1つがNTFSセキュリティ形式です。ルートボリュームが含まれる場合があります
::> vol show -vserver svm1 -volume svm1_root -fields security-style
vserver volume security-style
------------- ------------------ --------------
svm1 svm1_root ntfs
- アクセスを拒否されるUnixアカウントがローカルのWindowsアカウントに明示的にマッピングされる
::> vserver name-mapping show -vserver svm1 -direction unix-win
Vserver: svm1
Direction: unix-win
Position Hostname IP Address/Mask
-------- ---------------- ----------------
1 - - Pattern: root
Replacement: SVM1\\Administrator
- ローカルアカウントが無効になっています。これは、事前設定されたCIFS local-user「Administrator」のデフォルトです
::> local-user show -fields is-account-disabled
(vserver cifs users-and-groups local-user show)
vserver user-name is-account-disabled
------------- ------------------- -------------------
svm1 SVM1\Administrator true
- EMSログ:
secd.nfsAuth.noCifsCred:error]: vserver (SVM) NFS authorization cannot retrieve CIFS credentials.
Error: Get user credentials procedure failed
[ 0 ms] Determined UNIX id 0 is UNIX user 'root'
[ 0] UNIX user 'root' mapped to Windows user 'SVM\administrator'
[ 0] Using cached 'SVM\administrator' SID mapping. **
[ 0] FAILURE: Account is disabled for local user 'Administrator'
[ 0] Could not get credentials for Windows user 'administrator' or SID 'S-1-5-21-xxxxx'