Estamos usando JAAS para autenticação Kerberos. Como requisito do cliente, queremos garantir que o SMB V2 ou superior seja usado durante a comunicação com o KDC/AD.
Tenho algumas perguntas básicas relacionadas a isso. Por favor, desculpe-me se pareço muito ingênuo.
- O protocolo SMB realmente entra em cena ao usar a autenticação Kerberos e a delegação de credenciais (especialmente com JAAS)?
- Se sim, há alguma maneira de identificar qual versão SMB está sendo usada? Por exemplo, pode estar monitorando o tráfego de rede?
- Melhores práticas para implementar Kerberos + SMB? Alguma opinião sobre as bibliotecas JCIFS (disponíveis no GIT) mais recentes?
Qualquer indicação é muito apreciada! Obrigado,
Bhushan
Responder1
- A negociação Kerberos e a negociação SMB são separadas. Não há nenhuma maneira (razoável) de o KDC saber a versão do SMB usada pelo cliente ou servidor SMB. No máximo , o KDC pode fazer uma estimativa razoável quanto ao serviço/protocolo que está sendo acessado/usado (
cifs/server.example.comvsnfs/server.example.comvs. sobrecarregado, mas tende a ser apenas algumas coisas, nenhuma delas SMB, esse é o cifs), mas isso é tudo .HTTP/server.example.comhost/server.example.com - N / D
- Não use tipos de chave antigos, embora isso seja mais uma regra geral do Kerberos. (Os AES devem ser suficientes, embora eu também tenha a tendência de manter as variedades de camélia por perto.) Não tenho certeza do que o JAAS usa por padrão, mas provavelmente vale a pena verificar se você ainda não está usando DES/3DES/RC4.