Jump to content

LMCompatibilityLevel nach "krb" auf der Netapp ändern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

kennt sich jemand mit der Netapp  und CIFS  aus (Ontap 9.3)?

Unser Sicherheitsbeauftragter möchte, dass ich auf der Netapp den LMCompatibilityLevel auf Kerberos only ändere.

Habe ich probiert. User, die in der Domain schon ein Ticket haben, funktionieren. User , die sich direkt anmelden  (z.B. der User vom Netapp Virenscanner), funktionieren nicht.

Der Netapp erlaubt irgendwie nur DOMAIN\USER und nicht user@domain. ntlmv2-krb klappt dann wieder.

 

Siehe auch https://library.netapp.com/ecmdocs/ECMP1610207/html/GUID-861C90E9-A8B2-405C-9020-0C38679BD72B.html

 

Kennt sich  jemand  damit  aus?

 

Danke im Voraus.

 

-Zahni

Link zu diesem Kommentar
vor 4 Stunden schrieb NorbertFe:

Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)?

Es verursacht auf jeden Fall erhöhte CPU-Last auf der Netapp:  https://library.netapp.com/ecmdocs/ECMP1196993/html/GUID-D93B57F2-9AE3-4B99-B055-9942F4BCBC48.html

Es gab hier  auch schon Bugs, z.B. 162072 (kann ich nicht direkt verlinken), Titel "CIFS signing is enabled by default, causing slow CIFS performance."

 

Link zu diesem Kommentar

Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;)

Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte).


Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

Sie kann aber  auch SMB 3.1 ;)  ...

Mal sehen. Muss ich außerhalb der Produktion machen, da die CIFS-SVM neu gestartet werden muss.

 

vor 19 Minuten schrieb djmaker:

 

 

Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden?

Anmeldung  domain\user klappt nicht, user@domain wird intern nicht akzeptiert vserver vscan... mag nur domain\user . Ich kann im System Manager auch keine User in diesem Format den lokalen CIFS-Gruppen hinzufügen.

Ich könnte ja ein Netapp-Ticket ziehen. Hatte bei dem Wetter nur noch keine Lust dazu ;)

 

 

Link zu diesem Kommentar
vor 47 Minuten schrieb zahni:

Sie kann aber  auch SMB 3.1 ;)

Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :)

bearbeitet von NorbertFe
Link zu diesem Kommentar

Der Sprachgebrauch... Hier steht was zum Thema https://www.netapp.com/us/media/tr-4543.pdf  ;)

Immerhin darf  man die Netapp für Hyper-V benutzen inkl. transparent Failover. SMB Multichannel soll es ab Ontap 9.4 geben.

 

PS: Den Teil mit "SMB Session encryption" zeige  ich unserem Sicherheitsbeauftragten besser nicht ;)

bearbeitet von zahni
Link zu diesem Kommentar

Hier die Antwort:

 

Hallo ,

 

deine Beschreibung gibt mir das Gefühl, dass es eher ein Problem mit eurem Viren-scan Server ist, der die Kerberos-Anmeldung nicht unterstützt.

 

Eine suche in bekannten Cases hat leider keine 1zu1 Übereinstimmung ergeben.

 

An deiner Stelle würde ich einen NGS Case öffnen, um die Ursache zu ermitteln.

Leider kann dir das Partner Solution Center beim Trouble-Shooting nicht helfen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...