我们使用 JAAS 进行 Kerberos 身份验证。根据客户的要求,我们希望确保在与 KDC/AD 通信时必须使用 SMB V2 或更高版本。
我有几个与此相关的基本问题。如果我听起来太幼稚,请原谅。
- 在使用 Kerberos 身份验证和凭证委派(尤其是使用 JAAS)时,SMB 协议是否真正发挥作用?
- 如果是,那么我们有什么办法可以确定正在使用哪个 SMB 版本?例如,可以监控网络流量吗?
- 实施 Kerberos + SMB 的最佳实践?对最新的 JCIFS(可在 GIT 上使用)库有什么想法吗?
非常感谢您的指点!谢谢,
Bhushan
答案1
- Kerberos 协商和 SMB 协商是分开的。KDC 没有 (合理的) 方法来了解 SMB 客户端或服务器使用的 SMB 版本。KDC 最多可以对正在访问/使用的服务/协议做出合理的猜测(
cifs/server.example.comvsnfs/server.example.comvsHTTP/server.example.com.host/server.example.com过载,但往往只有少数几种,没有一种是 SMB,这是 cifs 的一种),但这就是全部了。 - 不适用
- 不要使用旧的密钥类型,尽管这更像是一个通用的 Kerberos 规则。(AES 应该足够了,但我倾向于保留山茶花品种。)不确定 JAAS 默认使用什么,但可能值得检查您是否仍在使用 DES/3DES/RC4。