Wir verwenden JAAS für die Kerberos-Authentifizierung. Als Kundenanforderung möchten wir sicherstellen, dass bei der Kommunikation mit KDC/AD SMB V2 oder höher verwendet werden muss.
Ich habe dazu einige grundsätzliche Fragen. Bitte entschuldigen Sie, wenn ich zu naiv klinge.
- Spielt das SMB-Protokoll wirklich eine Rolle, wenn Kerberos-Authentifizierung und Anmeldeinformationsdelegierung verwendet wird (insbesondere mit JAAS)?
- Wenn ja, können wir dann irgendwie feststellen, welche SMB-Version verwendet wird? Wird beispielsweise möglicherweise der Netzwerkverkehr überwacht?
- Best Practice zum Implementieren von Kerberos + SMB? Irgendwelche Gedanken zu den neuesten JCIFS-Bibliotheken (auf GIT verfügbar)?
Für alle Hinweise bin ich sehr dankbar! Danke,
Bhushan
Antwort1
- Die Kerberos-Aushandlung und die SMB-Aushandlung sind getrennt. Es gibt keine (vernünftige) Möglichkeit für das KDC, die vom SMB-Client oder -Server verwendete SMB-Version zu ermitteln. Das KDC kann höchstens eine vernünftige Vermutung darüber anstellen, auf welchen Dienst/welches Protokoll zugegriffen/welches verwendet wird (
cifs/server.example.com
vs.nfs/server.example.com
vs. überlastet, aber das betrifft in der Regel nur wenige Dinge, nichts davon SMB, das ist das CIFS-Ding), aber das istHTTP/server.example.com
auchhost/server.example.com
schon alles. - N / A
- Verwenden Sie keine alten Schlüsseltypen, obwohl das eher eine allgemeine Kerberos-Regel ist. (Die AES-Typen sollten ausreichen, obwohl ich auch die Camellia-Varianten behalte.) Ich bin nicht sicher, was JAAS standardmäßig verwendet, aber es lohnt sich wahrscheinlich zu prüfen, ob Sie nicht immer noch DES/3DES/RC4 verwenden.