Estamos utilizando JAAS para la autenticación Kerberos. Como requisito del cliente, queremos asegurarnos de que se debe utilizar SMB V2 o superior durante la comunicación con KDC/AD.
Tengo algunas preguntas básicas relacionadas con esto. Por favor, discúlpeme si parezco demasiado ingenuo.
- ¿El protocolo SMB realmente entra en escena cuando se utiliza la autenticación Kerberos y la delegación de credenciales (especialmente con JAAS)?
- En caso afirmativo, ¿hay alguna forma de que podamos identificar qué versión SMB se está utilizando? Por ejemplo, ¿puede estar monitoreando el tráfico de la red?
- ¿Mejores prácticas para implementar Kerberos + SMB? ¿Alguna idea sobre las últimas bibliotecas JCIFS (disponibles en GIT)?
¡Cualquier consejo es muy apreciado! Gracias,
Bhushan
Respuesta1
- La negociación de Kerberos y la negociación de SMB son independientes. No existe una forma (razonable) para que el KDC sepa la versión de SMB utilizada por el cliente o el servidor SMB. Como máximo , el KDC puede hacer una suposición razonable sobre el servicio/protocolo al que se accede/utiliza (
cifs/server.example.comvsnfs/server.example.comvs. sobrecargado, pero tiende a ser solo unas pocas cosas, ninguna de ellas SMB, esa es la cifs), pero eso es realmente todo. .HTTP/server.example.comhost/server.example.com - N / A
- No utilice tipos de claves antiguos, aunque es más bien una regla general de Kerberos. (Los AES deberían ser suficientes, aunque tiendo a conservar también las variedades de camelia). No estoy seguro de qué usa JAAS de forma predeterminada, pero probablemente valga la pena comprobar que no estás usando todavía DES/3DES/RC4.