我們使用 JAAS 進行 Kerberos 驗證。根據客戶的要求,我們希望確保在與 KDC/AD 通訊時必須使用 SMB V2 或更高版本。
我有幾個與此相關的基本問題。如果我聽起來太天真,請原諒。
- 使用 Kerberos 驗證和憑證委派(尤其是 JAAS)時,SMB 協定是否真正發揮作用?
- 如果是,那麼我們有什麼方法可以識別正在使用哪個 SMB 版本?例如,可能正在監視網路流量?
- 實作 Kerberos + SMB 的最佳實務?對最新的 JCIFS(GIT 上可用)庫有什麼想法嗎?
任何指點都將受到高度讚賞!謝謝,
布山
答案1
- Kerberos 協商和 SMB 協商是分開的。 KDC 沒有(合理的)方法來了解 SMB 用戶端或伺服器使用的 SMB 版本。最多 KDC 可以對正在訪問/使用的服務/協議做出合理的猜測(
cifs/server.example.com與nfs/server.example.com超載,但往往HTTP/server.example.com只有host/server.example.com幾件事,其中沒有一個是 SMB,那就是 cifs),但僅此而已。 - 不適用
- 不要使用舊的金鑰類型,儘管這更多的是一般的 kerberos 規則。 (AES 應該足夠了,儘管我傾向於保留山茶花品種。)不確定 JAAS 默認使用什麼,但可能值得檢查您是否仍在使用 DES/3DES/RC4。