主页 / server / 问题 / 1048927
Accepted
Bhushan Karmarkar
Asked: 2021-01-08 04:25:22 +0800 CST

使用 JAAS 和 SMB 协议的 Kerberos

  • 772

我们使用 JAAS 进行 Kerberos 身份验证。作为客户的要求,我们希望确保在与 KDC/AD 通信期间必须使用 SMB V2 或更高版本。

我有几个与此相关的基本问题。如果我听起来太天真,请原谅我。

  1. SMB 协议在使用 Kerberos 身份验证和凭证委托(尤其是 JAAS)时是否真正发挥作用?
  2. 如果是,那么我们有什么方法可以识别正在使用的 SMB 版本吗?例如,可能正在监控网络流量?
  3. 实施 Kerberos + SMB 的最佳实践?对最新的 JCIFS(在 GIT 上可用)库有什么想法吗?

任何指针都非常感谢!谢谢,
布山

java server-message-block kerberos

1 个回答

  1. Best Answer
    1. Kerberos 协商和 SMB 协商是分开的。KDC 没有(合理的)方法知道 SMB 客户端或服务器使用的 SMB 版本。至多 KDC 可以对正在访问/使用的服务/协议做出合理的猜测(cifs/server.example.comnfs/server.example.comVS重载相比HTTP/server.example.comhost/server.example.com但往往只有几件事,没有一个是 SMB,那是 cifs 的),但这就是它的真正意义.
    2. 不适用
    3. 不要使用旧的密钥类型,尽管这更像是一般的 kerberos 规则。(AES 应该就足够了,尽管我倾向于保留山茶花品种。)不确定 JAAS 默认使用什么,但可能值得检查一下您是否仍在使用 DES/3DES/RC4。
    • 1

相关问题