跳转到主内容

CIFS 密码后, ONTAP 9.2 及更高版本上的 CIFS 客户端访问失败 重置

Views:
18
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

状态信息

适用于

  • ONTAP 9.2+

问题    

  • CIFS 客户机无法鉴定到 CIFS 服务器
  • EMS 错误(secd.cifsAuth.problem)报告 ""KRB5KRB_AP_ERR_BAD_INTEGRITY

12/31/2018 14:12:31 cluster-01    ERROR      secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
  [  2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[    4] FAILURE: CIFS authentication failed

  • 手动或计划的 CIFS 密码重置
    • 运行以下命令以检查上次的时间 已重置 SVM 的密码

cluster::> cifs domain password schedule show -vserver <vserver>

     Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
     Schedule Interval: 4   week(s)
Schedule Randomized Within: 120 minute(s)
          Schedule: Sun@01:00
      Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset

原因

  • 当由于密码重置而导致 Kerberos 票证无效时、 ONTAP 9.2+ 中的更改会导致会话安装请求收到不同的响应。 
  • 在 9.2 之前的版本 KRB_APP_ERR_MODIFIED 中,客户端会收到此消息,从而导致它们刷新 CIFS 服务器的 Kerberos 票证。
  • 9.2 之后,客户端将收到Unknown (0xC0000466)或STATUS_UNSUCCESSFUL 作为响应。
  • 此响应不会导致客户端刷新其 Kerberos 票证。
  • 这将导致客户端反复失败身份验证,直到通过 "klist purge" ,客户端重新启动或等待 Kerberos 票证超时(默认值为 10 小时)清除 Kerberos 票证为止。

目前正在通过 ONTAP 错误1206384 调查此行为

解决方案

解决方法

  1. klist purge客户端计算机重新启动或运行 "" 删除陈旧的 Kerberos 票证
  2. 等待客户端刷新其 Kerberos 票证。默认情况下,此时间范围应在 10 小时内
  3. 通过 IP 访问 CIFS 服务器以避免使用 Kerberos 并强制进行 NTLM 身份验证

注意: 禁用计划的密码重置

注意: 请避免使用 ""cifs password-reset -vserver命令

订阅错误 1206384 ,了解更多可用信息。

其他信息

相关文章 (记录 KRB5KRB_AP_ERR_BAD_INTEGRITY 可能出现的其他已知原因)

 

CUSTOMER EXCLUSIVE CONTENT

Registered NetApp customers get unlimited access to our dynamic Knowledge Base.

New authoritative content is published and updated each day by our team of experts.

Current Customer or Partner?

Sign In for unlimited access

New to NetApp?

Learn more about our award-winning Support