Java

使用 JAAS 和 SMB 協議的 Kerberos

  • January 14, 2021

我們使用 JAAS 進行 Kerberos 身份驗證。作為客戶的要求,我們希望確保在與 KDC/AD 通信期間必須使用 SMB V2 或更高版本。

我有幾個與此相關的基本問題。如果我聽起來太天真,請原諒我。

  1. SMB 協議在使用 Kerberos 身份驗證和憑證委託(尤其是 JAAS)時是否真正發揮作用?
  2. 如果是,那麼我們有什麼方法可以辨識正在使用的 SMB 版本嗎?例如,可能正在監控網路流量?
  3. 實施 Kerberos + SMB 的最佳實踐?對最新的 JCIFS(在 GIT 上可用)庫有什麼想法嗎?

任何指針都非常感謝!謝謝,

布山

  1. Kerberos 協商和 SMB 協商是分開的。KDC 沒有(合理的)方法知道 SMB 客戶端或伺服器使用的 SMB 版本。至多 KDC 可以對正在訪問/使用的服務/協議做出合理的猜測(cifs/server.example.comnfs/server.example.comVS重載相比HTTP/server.example.comhost/server.example.com但往往只有幾件事,沒有一個是 SMB,那是 cifs 的),但這就是它的真正意義.
  2. 不適用
  3. 不要使用舊的密鑰類型,儘管這更像是一般的 kerberos 規則。(AES 應該就足夠了,儘管我傾向於保留山茶花品種。)不確定 JAAS 預設使用什麼,但可能值得檢查一下您是否仍在使用 DES/3DES/RC4。

引用自:https://serverfault.com/questions/1048927