CIFS 密码后, ONTAP 9.2 及更高版本上的 CIFS 客户端访问失败 重置
状态信息
适用于
- ONTAP 9.2+
问题
- CIFS 客户机无法鉴定到 CIFS 服务器
- EMS 错误(
secd.cifsAuth.problem
)报告 ""KRB5KRB_AP_ERR_BAD_INTEGRITY
12/31/2018 14:12:31 cluster-01 ERROR secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
[ 2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[ 4] FAILURE: CIFS authentication failed
- 手动或计划的 CIFS 密码重置
- 运行以下命令以检查上次的时间 已重置 SVM 的密码
cluster::> cifs domain password schedule show -vserver <vserver>
Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
Schedule Interval: 4 week(s)
Schedule Randomized Within: 120 minute(s)
Schedule: Sun@01:00
Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset
原因
- 当由于密码重置而导致 Kerberos 票证无效时、 ONTAP 9.2+ 中的更改会导致会话安装请求收到不同的响应。
- 在 9.2 之前的版本
KRB_APP_ERR_MODIFIED
中,客户端会收到此消息,从而导致它们刷新 CIFS 服务器的 Kerberos 票证。 - 9.2 之后,客户端将收到
Unknown (0xC0000466
)或STATUS_UNSUCCESSFUL
作为响应。 - 此响应不会导致客户端刷新其 Kerberos 票证。
- 这将导致客户端反复失败身份验证,直到通过 "
klist purge
" ,客户端重新启动或等待 Kerberos 票证超时(默认值为 10 小时)清除 Kerberos 票证为止。
目前正在通过 ONTAP 错误1206384 调查此行为。
解决方案
解决方法
- 从
klist purge
客户端计算机重新启动或运行 "" 删除陈旧的 Kerberos 票证 - 等待客户端刷新其 Kerberos 票证。默认情况下,此时间范围应在 10 小时内
- 通过 IP 访问 CIFS 服务器以避免使用 Kerberos 并强制进行 NTLM 身份验证
注意: 禁用计划的密码重置
注意: 请避免使用 ""cifs password-reset -vserver
命令
订阅错误 1206384 ,了解更多可用信息。
其他信息
相关文章 (记录 KRB5KRB_AP_ERR_BAD_INTEGRITY
可能出现的其他已知原因)