CIFS 密码后， ONTAP 9.2 及更高版本上的 CIFS 客户端访问失败 重置

适用于

• ONTAP 9.2+

问题    

• CIFS 客户机无法鉴定到 CIFS 服务器
• EMS 错误（secd.cifsAuth.problem）报告 ""KRB5KRB_AP_ERR_BAD_INTEGRITY

12/31/2018 14:12:31 cluster-01    ERROR      secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
  [  2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[    4] FAILURE: CIFS authentication failed

• 手动或计划的 CIFS 密码重置
  • 运行以下命令以检查上次的时间 已重置 SVM 的密码

cluster::> cifs domain password schedule show -vserver <vserver>

     Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
     Schedule Interval: 4   week(s)
Schedule Randomized Within: 120 minute(s)
          Schedule: Sun@01:00
      Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset

原因

• 当由于密码重置而导致 Kerberos 票证无效时、 ONTAP 9.2+ 中的更改会导致会话安装请求收到不同的响应。 
• 在 9.2 之前的版本 KRB_APP_ERR_MODIFIED 中，客户端会收到此消息，从而导致它们刷新 CIFS 服务器的 Kerberos 票证。
• 9.2 之后，客户端将收到Unknown (0xC0000466）或STATUS_UNSUCCESSFUL 作为响应。
• 此响应不会导致客户端刷新其 Kerberos 票证。
• 这将导致客户端反复失败身份验证，直到通过 "klist purge" ，客户端重新启动或等待 Kerberos 票证超时（默认值为 10 小时）清除 Kerberos 票证为止。

目前正在通过 ONTAP 错误1206384 调查此行为。

解决方案

解决方法

1. 从klist purge客户端计算机重新启动或运行 "" 删除陈旧的 Kerberos 票证
2. 等待客户端刷新其 Kerberos 票证。默认情况下，此时间范围应在 10 小时内
3. 通过 IP 访问 CIFS 服务器以避免使用 Kerberos 并强制进行 NTLM 身份验证

注意： 禁用计划的密码重置

注意： 请避免使用 ""cifs password-reset -vserver命令

订阅错误 1206384 ，了解更多可用信息。

其他信息

相关文章 （记录 KRB5KRB_AP_ERR_BAD_INTEGRITY 可能出现的其他已知原因）

• 无法通过 DNS 别名访问 CIFS
• Kerberos EMS 错误说明 - 常见问题解答