Jump to content
zahni

LMCompatibilityLevel nach "krb" auf der Netapp ändern

Empfohlene Beiträge

Hi,

 

kennt sich jemand mit der Netapp  und CIFS  aus (Ontap 9.3)?

Unser Sicherheitsbeauftragter möchte, dass ich auf der Netapp den LMCompatibilityLevel auf Kerberos only ändere.

Habe ich probiert. User, die in der Domain schon ein Ticket haben, funktionieren. User , die sich direkt anmelden  (z.B. der User vom Netapp Virenscanner), funktionieren nicht.

Der Netapp erlaubt irgendwie nur DOMAIN\USER und nicht user@domain. ntlmv2-krb klappt dann wieder.

 

Siehe auch https://library.netapp.com/ecmdocs/ECMP1610207/html/GUID-861C90E9-A8B2-405C-9020-0C38679BD72B.html

 

Kennt sich  jemand  damit  aus?

 

Danke im Voraus.

 

-Zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Eigentlich will er, dass ich SMB Signing erzwinge. Das möchte ich, um Performance-Problemen vorzubeugen, eher nicht. Daher  der Kompromiss Kerberos only.

Wegen SMB Relay Attack usw.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich frage mal beim Partner Support nach und gebe eine Info.

 

Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden?

bearbeitet von djmaker

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb NorbertFe:

Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)?

Es verursacht auf jeden Fall erhöhte CPU-Last auf der Netapp:  https://library.netapp.com/ecmdocs/ECMP1196993/html/GUID-D93B57F2-9AE3-4B99-B055-9942F4BCBC48.html

Es gab hier  auch schon Bugs, z.B. 162072 (kann ich nicht direkt verlinken), Titel "CIFS signing is enabled by default, causing slow CIFS performance."

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;)

Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte).


Bye

Norbert

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sie kann aber  auch SMB 3.1 ;)  ...

Mal sehen. Muss ich außerhalb der Produktion machen, da die CIFS-SVM neu gestartet werden muss.

 

vor 19 Minuten schrieb djmaker:

 

 

Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden?

Anmeldung  domain\user klappt nicht, user@domain wird intern nicht akzeptiert vserver vscan... mag nur domain\user . Ich kann im System Manager auch keine User in diesem Format den lokalen CIFS-Gruppen hinzufügen.

Ich könnte ja ein Netapp-Ticket ziehen. Hatte bei dem Wetter nur noch keine Lust dazu ;)

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 47 Minuten schrieb zahni:

Sie kann aber  auch SMB 3.1 ;)

Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :)

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der Sprachgebrauch... Hier steht was zum Thema https://www.netapp.com/us/media/tr-4543.pdf  ;)

Immerhin darf  man die Netapp für Hyper-V benutzen inkl. transparent Failover. SMB Multichannel soll es ab Ontap 9.4 geben.

 

PS: Den Teil mit "SMB Session encryption" zeige  ich unserem Sicherheitsbeauftragten besser nicht ;)

bearbeitet von zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hier die Antwort:

 

Hallo ,

 

deine Beschreibung gibt mir das Gefühl, dass es eher ein Problem mit eurem Viren-scan Server ist, der die Kerberos-Anmeldung nicht unterstützt.

 

Eine suche in bekannten Cases hat leider keine 1zu1 Übereinstimmung ergeben.

 

An deiner Stelle würde ich einen NGS Case öffnen, um die Ursache zu ermitteln.

Leider kann dir das Partner Solution Center beim Trouble-Shooting nicht helfen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mal sehen. Ich konnte mich aber auch nicht mehr mit einen Domain User am System Center oder per SSH anmelden.

Aktuell gibt unser Sicherheits-Mensch erstmal Ruhe.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×