Мы используем JAAS для аутентификации Kerberos. В качестве требования клиента мы хотим убедиться, что SMB V2 или выше должен использоваться во время связи с KDC/AD.
У меня есть несколько основных вопросов, связанных с этим. Извините, если я кажусь слишком наивным.
- Действительно ли протокол SMB играет важную роль при использовании аутентификации Kerberos и делегирования учетных данных (особенно с JAAS)?
- Если да, то есть ли способ определить, какая версия SMB используется? Например, может быть, это мониторинг сетевого трафика?
- Лучшая практика внедрения Kerberos + SMB? Есть мысли о последних библиотеках JCIFS (доступных на GIT)?
Любые указания высоко ценятся! Спасибо,
Бхушан
решение1
- Согласование Kerberos и согласование SMB разделены. Для KDC нет (разумного) способа узнать версию SMB, используемую клиентом или сервером SMB. Самое большее, что может сделать KDC, это сделать разумное предположение о том, к какой службе/протоколу осуществляется доступ/используется (
cifs/server.example.comvsnfs/server.example.comvsHTTP/server.example.com.host/server.example.comперегружен, но, как правило, это всего несколько вещей, ни одна из которых не относится к SMB, это cifs), но это, по сути, все. - Н/Д
- Не используйте старые типы ключей, хотя это скорее общее правило Kerberos. (AES-ключей должно быть достаточно, хотя я также стараюсь держать под рукой разновидности Camellia.) Не уверен, что JAAS использует по умолчанию, но, вероятно, стоит проверить, не используете ли вы все еще DES/3DES/RC4.