使用 JAAS 和 SMB 协议的 Kerberos

使用 JAAS 和 SMB 协议的 Kerberos

我们使用 JAAS 进行 Kerberos 身份验证。根据客户的要求,我们希望确保在与 KDC/AD 通信时必须使用 SMB V2 或更高版本。

我有几个与此相关的基本问题。如果我听起来太幼稚,请原谅。

  1. 在使用 Kerberos 身份验证和凭证委派(尤其是使用 JAAS)时,SMB 协议是否真正发挥作用?
  2. 如果是,那么我们有什么办法可以确定正在使用哪个 SMB 版本?例如,可以监控网络流量吗?
  3. 实施 Kerberos + SMB 的最佳实践?对最新的 JCIFS(可在 GIT 上使用)库有什么想法吗?

非常感谢您的指点!谢谢,
Bhushan

答案1

  1. Kerberos 协商和 SMB 协商是分开的。KDC 没有 (合理的) 方法来了解 SMB 客户端或服务器使用的 SMB 版本。KDC 最多可以对正在访问/使用的服务/协议做出合理的猜测(cifs/server.example.comvs nfs/server.example.comvs HTTP/server.example.com.host/server.example.com过载,但往往只有少数几种,没有一种是 SMB,这是 cifs 的一种),但这就是全部了。
  2. 不适用
  3. 不要使用旧的密钥类型,尽管这更像是一个通用的 Kerberos 规则。(AES 应该足够了,但我倾向于保留山茶花品种。)不确定 JAAS 默认使用什么,但可能值得检查您是否仍在使用 DES/3DES/RC4。

相关内容