CIFS 密码后， ONTAP 9.2 及更高版本上的 CIFS 客户端访问失败 重置

适用场景

• ONTAP 9.2
• CIFS

问题描述    

• CIFS 客户机无法鉴定到 CIFS 服务器
• EMS 错误（secd.cifsAuth.problem）报告 ""KRB5KRB_AP_ERR_BAD_INTEGRITY

12/31/2018 14:12:31 cluster-01    ERROR      secd.cifsAuth.problem: vserver (vserver) General CIFS authentication problem. Error: User authentication procedure failed
CIFS SMB2 Share mapping - Client Ip = 10.11.22.33
  [  2 ms] Error accepting security context for Vserver identifier (8). Decrypt integrity check failed (KRB5KRB_AP_ERR_BAD_INTEGRITY).
**[    4] FAILURE: CIFS authentication failed

• 手动或计划的 CIFS 密码重置
  • 运行以下命令以检查上次的时间 已重置 SVM 的密码

cluster::> vserver cifs domain password schedule show -vserver <vserver>

     Schedule Enabled: true<<<< Whether or not scheduled password reset is enabled
     Schedule Interval: 4   week(s)
Schedule Randomized Within: 120 minute(s)
          Schedule: Sun@01:00
      Last Changed At: Mon Dec 31 15:23:41 2018<<<< Last time password was changed either manually or via scheduled reset

发生原因

• 当由于密码重置而导致 Kerberos 票证无效时、 ONTAP 9.2+ 中的更改会导致会话安装请求收到不同的响应。 
• 在 9.2 之前的版本 KRB_APP_ERR_MODIFIED 中，客户端会收到此消息，从而导致它们刷新 CIFS 服务器的 Kerberos 票证。
• 在9.2及更高版本的非固定版本中、客户端将收到 STATUS_SERVER_UNAVAILABLE (0xC0000466)或STATUS_UNSUCCESSFUL (0xC0000001) 作为响应。
• 此响应不会导致客户端刷新其 Kerberos 票证。
• 这将导致客户端反复失败身份验证，直到通过 "klist purge" ，客户端重新启动或等待 Kerberos 票证超时（默认值为 10 小时）清除 Kerberos 票证为止。

解决方案

• 升级到 错误1206384的修复版本
• 解决方法

1. 在受影响的客户端上、重新启动、注销或运行 klist purge 以删除陈旧的Kerberos票证
2. 等待客户端刷新其 Kerberos 票证。默认情况下，此时间范围应在 10 小时内
3. 通过IP地址访问CIFS服务器、以避免使用Kerberos并强制进行NTLM身份验证

• 在执行升级之前：
  • 禁用计划的密码重置
  • 请避免使用 ""vserver cifs password-reset -vserver <SVM_NAME>命令。

追加信息

• 相关文章(记录 KRB5KRB_AP_ERR_BAD_INTEGRITY 可能出现的其他已知原因)
  • 错误1206384
  • 无法通过 DNS 别名访问 CIFS
  • Kerberos EMS 错误说明 - 常见问题解答