CIFS 密码后, ONTAP 9.2 及更高版本上的 CIFS 客户端访问失败 重置
适用场景
- ONTAP 9.2
- CIFS
问题描述
- CIFS 客户机无法鉴定到 CIFS 服务器
- EMS 错误(
secd.cifsAuth.problem
)报告 ""KRB5KRB_AP_ERR_BAD_INTEGRITY
12/31/2018 14:12:31 cluster-01 ERROR secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
[ 2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[ 4] FAILURE: CIFS authentication failed
- 手动或计划的 CIFS 密码重置
- 运行以下命令以检查上次的时间 已重置 SVM 的密码
cluster::> vserver cifs domain password schedule show -vserver <vserver>
Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
Schedule Interval: 4 week(s)
Schedule Randomized Within: 120 minute(s)
Schedule: Sun@01:00
Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset
发生原因
- 当由于密码重置而导致 Kerberos 票证无效时、 ONTAP 9.2+ 中的更改会导致会话安装请求收到不同的响应。
- 在 9.2 之前的版本
KRB_APP_ERR_MODIFIED
中,客户端会收到此消息,从而导致它们刷新 CIFS 服务器的 Kerberos 票证。 - 在9.2及更高版本的非固定版本中、客户端将收到
STATUS_SERVER_UNAVAILABLE (0xC0000466
)或STATUS_UNSUCCESSFUL (0xC0000001)
作为响应。 - 此响应不会导致客户端刷新其 Kerberos 票证。
- 这将导致客户端反复失败身份验证,直到通过 "
klist purge
" ,客户端重新启动或等待 Kerberos 票证超时(默认值为 10 小时)清除 Kerberos 票证为止。
解决方案
- 升级到 错误1206384的修复版本
- 解决方法
- 在受影响的客户端上、重新启动、注销或运行
klist purge
以删除陈旧的Kerberos票证 - 等待客户端刷新其 Kerberos 票证。默认情况下,此时间范围应在 10 小时内
- 通过IP地址访问CIFS服务器、以避免使用Kerberos并强制进行NTLM身份验证
- 在执行升级之前:
- 禁用计划的密码重置
- 请避免使用 ""
vserver cifs password-reset -vserver <SVM_NAME>
命令。
追加信息
- 相关文章(记录
KRB5KRB_AP_ERR_BAD_INTEGRITY
可能出现的其他已知原因)