Java
使用 JAAS 和 SMB 協議的 Kerberos
我們使用 JAAS 進行 Kerberos 身份驗證。作為客戶的要求,我們希望確保在與 KDC/AD 通信期間必須使用 SMB V2 或更高版本。
我有幾個與此相關的基本問題。如果我聽起來太天真,請原諒我。
- SMB 協議在使用 Kerberos 身份驗證和憑證委託(尤其是 JAAS)時是否真正發揮作用?
- 如果是,那麼我們有什麼方法可以辨識正在使用的 SMB 版本嗎?例如,可能正在監控網路流量?
- 實施 Kerberos + SMB 的最佳實踐?對最新的 JCIFS(在 GIT 上可用)庫有什麼想法嗎?
任何指針都非常感謝!謝謝,
布山
- Kerberos 協商和 SMB 協商是分開的。KDC 沒有(合理的)方法知道 SMB 客戶端或伺服器使用的 SMB 版本。至多 KDC 可以對正在訪問/使用的服務/協議做出合理的猜測(
cifs/server.example.com與nfs/server.example.comVS重載相比HTTP/server.example.com,host/server.example.com但往往只有幾件事,沒有一個是 SMB,那是 cifs 的),但這就是它的真正意義.- 不適用
- 不要使用舊的密鑰類型,儘管這更像是一般的 kerberos 規則。(AES 應該就足夠了,儘管我傾向於保留山茶花品種。)不確定 JAAS 預設使用什麼,但可能值得檢查一下您是否仍在使用 DES/3DES/RC4。