NTFSボリュームへのNFSv4 Kerberosマウントがクライアントからのアクセス拒否エラーで失敗する
環境
- ONTAP 9
- Kerberos
- NFSv4
- NTFSボリューム
問題
- Kerberosを使用してNTFSボリュームをマウントするとNFSv4クライアントがアクセス拒否される
- EMSが
secd.nfsAuth.noCifsCredS4U2SelfマッピングされたWindowsユーザクレデンシャルの取得に失敗するイベントを表示する
1/15/2024 14:27:37 cluster1-01 ERROR secd.nfsAuth.noCifsCred: vserver (svm1) NFS authorization cannot retrieve CIFS credentials. Error: Get user credentials procedure failed [ 0 ms] Determined UNIX id 65534 is UNIX user 'pcuser' [ 12] UNIX user 'pcuser' mapped to Windows user 'ntap\nfsnobody' [ 12] Using cached 'ntap\nfsnobody' SID mapping. [ 15] Successfully connected to ip 10.10.10.110, port 88 using TCP**[ 17] FAILURE: Could not get credentials via S4U2Self based on full Windows user name 'nfsnobody@NTAP.LOCAL'. Access denied. [ 17] Could not get credentials for Windows user 'nfsnobody' or SID 'S-1-5-21-3506719826-1324006886-3270342602-1112'- パケットトレースは
NFS4ERR_ACCESSACCESS、マウント中にNFSクライアントが呼び出しに参加したことを示しています。
- krb-UNIXネームマッピングは、マシンアカウントとホストのSPNマップをpcuserに表示します。
clus9x::> vserver name-mapping show -vserver svm1 -direction krb-unix
Vserver: svm1
Direction: krb-unix
Position Hostname IP Address/Mask
-------- ---------------- ----------------
1 - - Pattern: (.+)\$@NTAP.LOCAL
Replacement: pcuser
2 - - Pattern: host/(.+)@NTAP.LOCAL
Replacement: pcuser
3 - - Pattern: (.+)@NTAP.LOCAL
Replacement: \1
3 entries were displayed.
- unix-winのネームマッピングに明示的なルールがない