Kerberos 認証には JAAS を使用しています。顧客からの要件として、KDC/AD との通信中は SMB V2 以上を使用する必要があることを確認しています。
これに関していくつか基本的な質問があります。あまりに素朴に聞こえたらご容赦ください。
- Kerberos 認証と資格情報の委任 (特に JAAS を使用) を使用する場合、SMB プロトコルは実際に関係しますか?
- はいの場合、使用されている SMB バージョンを識別する方法はありますか? たとえば、ネットワーク トラフィックを監視するなどでしょうか?
- Kerberos + SMB を実装するためのベスト プラクティスは何ですか? 最新の JCIFS (GIT で入手可能) ライブラリについて何かご意見はありますか?
何かアドバイスがあれば大歓迎です!ありがとう、
Bhushan
答え1
- Kerberos ネゴシエーションと SMB ネゴシエーションは別々です。KDC が SMB クライアントまたはサーバーで使用されている SMB のバージョンを知る (合理的な) 方法はありません。KDC は、アクセスまたは使用されているサービス/プロトコル (
cifs/server.example.comvsnfs/server.example.comvs. overloadedHTTP/server.example.comなど)についてhost/server.example.com、合理的な推測を行うことがせいぜい可能ですが、多くの場合、SMB ではなく、cifs に関するものだけになります。ただし、それだけです。 - 該当なし
- 古いキー タイプを使用しないでください。これは、より一般的な Kerberos ルールです。(AES のもので十分なはずですが、私は Camellia の種類も保持する傾向があります。) JAAS がデフォルトで何を使用するかはわかりませんが、まだ DES/3DES/RC4 を使用していないことを確認する価値はあるでしょう。