Jump to content
Sign in to follow this  
zahni

LMCompatibilityLevel nach "krb" auf der Netapp ändern

Recommended Posts

Hi,

 

kennt sich jemand mit der Netapp  und CIFS  aus (Ontap 9.3)?

Unser Sicherheitsbeauftragter möchte, dass ich auf der Netapp den LMCompatibilityLevel auf Kerberos only ändere.

Habe ich probiert. User, die in der Domain schon ein Ticket haben, funktionieren. User , die sich direkt anmelden  (z.B. der User vom Netapp Virenscanner), funktionieren nicht.

Der Netapp erlaubt irgendwie nur DOMAIN\USER und nicht user@domain. ntlmv2-krb klappt dann wieder.

 

Siehe auch https://library.netapp.com/ecmdocs/ECMP1610207/html/GUID-861C90E9-A8B2-405C-9020-0C38679BD72B.html

 

Kennt sich  jemand  damit  aus?

 

Danke im Voraus.

 

-Zahni

Share this post


Link to post
Share on other sites

Eigentlich will er, dass ich SMB Signing erzwinge. Das möchte ich, um Performance-Problemen vorzubeugen, eher nicht. Daher  der Kompromiss Kerberos only.

Wegen SMB Relay Attack usw.

Share this post


Link to post
Share on other sites

Ich frage mal beim Partner Support nach und gebe eine Info.

 

Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden?

Edited by djmaker

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb NorbertFe:

Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)?

Es verursacht auf jeden Fall erhöhte CPU-Last auf der Netapp:  https://library.netapp.com/ecmdocs/ECMP1196993/html/GUID-D93B57F2-9AE3-4B99-B055-9942F4BCBC48.html

Es gab hier  auch schon Bugs, z.B. 162072 (kann ich nicht direkt verlinken), Titel "CIFS signing is enabled by default, causing slow CIFS performance."

 

Share this post


Link to post
Share on other sites

Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;)

Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte).


Bye

Norbert

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Sie kann aber  auch SMB 3.1 ;)  ...

Mal sehen. Muss ich außerhalb der Produktion machen, da die CIFS-SVM neu gestartet werden muss.

 

vor 19 Minuten schrieb djmaker:

 

 

Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden?

Anmeldung  domain\user klappt nicht, user@domain wird intern nicht akzeptiert vserver vscan... mag nur domain\user . Ich kann im System Manager auch keine User in diesem Format den lokalen CIFS-Gruppen hinzufügen.

Ich könnte ja ein Netapp-Ticket ziehen. Hatte bei dem Wetter nur noch keine Lust dazu ;)

 

 

Share this post


Link to post
Share on other sites
vor 47 Minuten schrieb zahni:

Sie kann aber  auch SMB 3.1 ;)

Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Der Sprachgebrauch... Hier steht was zum Thema https://www.netapp.com/us/media/tr-4543.pdf  ;)

Immerhin darf  man die Netapp für Hyper-V benutzen inkl. transparent Failover. SMB Multichannel soll es ab Ontap 9.4 geben.

 

PS: Den Teil mit "SMB Session encryption" zeige  ich unserem Sicherheitsbeauftragten besser nicht ;)

Edited by zahni

Share this post


Link to post
Share on other sites

Hier die Antwort:

 

Hallo ,

 

deine Beschreibung gibt mir das Gefühl, dass es eher ein Problem mit eurem Viren-scan Server ist, der die Kerberos-Anmeldung nicht unterstützt.

 

Eine suche in bekannten Cases hat leider keine 1zu1 Übereinstimmung ergeben.

 

An deiner Stelle würde ich einen NGS Case öffnen, um die Ursache zu ermitteln.

Leider kann dir das Partner Solution Center beim Trouble-Shooting nicht helfen.

Share this post


Link to post
Share on other sites

Mal sehen. Ich konnte mich aber auch nicht mehr mit einen Domain User am System Center oder per SSH anmelden.

Aktuell gibt unser Sicherheits-Mensch erstmal Ruhe.

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...