itnirvana
Goto Top

Wie lässt man NTLM zu gegenüber einem Azure File Share für Domain Credentials

Hallo,

laut einem NETMON Error Protokoll lässt der Azure File Share . kein NTLM für die Authentisierung für DFC Credentials nichts zu.. Muss man dies extra einstellen ?


Gruss
Paul

Content-ID: 31726217051

Url: https://administrator.de/en/wie-laesst-man-ntlm-zu-gegenueber-einem-azure-file-share-fuer-domain-credentials-31726217051.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

8585324113
8585324113 02.11.2023 aktualisiert um 14:49:28 Uhr
Goto Top
Das war sonst möglich. Aber MS versucht seit mindestens einem Jahr sehr aggressiv (für MS Verhältnisse), NTLM loszuwerden.
Das ist eine gute Sache und ggf musst du es wieder aktivieren. (Also das Loswerden)
Aber NTLM ist wirklich nicht so toll.

SMB3 idealerweise über QUIC kommt nciht in Betracht?
MysticFoxDE
MysticFoxDE 02.11.2023 um 17:54:59 Uhr
Goto Top
Moin @itnirvana:
laut einem NETMON Error Protokoll lässt der Azure File Share . kein NTLM für die Authentisierung für DFC Credentials nichts zu.. Muss man dies extra einstellen ?

das kann schon sein, dass per Default mittlerweile nur Kerberos aktiviert ist.

Was ist den bei dir an dieser Stelle konfiguriert ...

afs smb

... ?

Weitere Details zu diesem Thema findest du übrigens hier.

https://learn.microsoft.com/de-de/azure/storage/files/files-smb-protocol ...

Gruss Alex
MysticFoxDE
MysticFoxDE 02.11.2023 um 18:04:46 Uhr
Goto Top
Moin @8585324113,

SMB3 idealerweise über QUIC kommt nciht in Betracht?

ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?

Gruss Alex
8585324113
8585324113 02.11.2023 um 23:05:37 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @8585324113,

SMB3 idealerweise über QUIC kommt nciht in Betracht?

ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?

Gruss Alex

SMB über QUIC beinhaltet auch Autorisierung und Authentifizierung.
Außer bei dir wieder nicht.
MysticFoxDE
MysticFoxDE 03.11.2023 um 07:17:50 Uhr
Goto Top
Moin @8585324113,

SMB über QUIC beinhaltet auch Autorisierung und Authentifizierung.
Außer bei dir wieder nicht.

doch doch, aber bei mir, kann SMB über TCP übrigens auch genau das selbe, weil so Dinge wie Autorisierung und Authentifizierung und auch Signierung, von SMB kommen und zwar ganz unabhängig davon ob dieses über TCP oder QUIC läuft. 😉

Nur bei SMB über RDMA musste a weng ufpassen, den da solltest du bei SMB, zumindest was Windows angeht, weder Verschlüsselung noch Signierung verwenden, weshalb es für kritische Umgebungen eigentlich ein NoGo ist. 🙃

Und By the Way, der Trick mit dem Glatteis funktioniert bei einem 🦊 wegen der Krallen und des geringen Gewichtes nicht wirklich. 🤪

Gruss Alex
8585324113
8585324113 03.11.2023 um 07:37:42 Uhr
Goto Top
Klar, und wenn Du die Wahl hast, dann machst Du zur Azure TCP auf ein Share?!

Heute ist Freitag.
MysticFoxDE
MysticFoxDE 03.11.2023 um 08:11:47 Uhr
Goto Top
Moin @8585324113,

Klar, und wenn Du die Wahl hast, dann machst Du zur Azure TCP auf ein Share?!

Heute ist Freitag.

oh jäh, stimmt, habe ich ganz vergessen, heute ist ja mal wieder auch Kindergarten angesagt, danke für den Hinweis.

https://learn.microsoft.com/de-de/windows-server/storage/file-server/smb ...

smb quic

Gruss Alex
8585324113
8585324113 03.11.2023 um 08:25:04 Uhr
Goto Top
Hast du heute Überspannung oder Überclownung?

Wir reden von einem Azure Share. Da kann man TCP machen, aber es ist QUIC mindestens empfohlen. Und du kommst mit RDMA. 🤦
MysticFoxDE
MysticFoxDE 03.11.2023 um 08:51:01 Uhr
Goto Top
Moin @8585324113,

Wir reden von einem Azure Share. Da kann man TCP machen, aber es ist QUIC mindestens empfohlen.

ah ja, QUIC ist also schon mindestens empfohlen, so so und was ist dann bitte die Maximalempfehlung?

Ferner, du hast das schon noch auf dem Schirm, dass der TO sich per NTLM authentifizieren möchte und das die Verwendung von SMB over QUIC eine funktionierende und sauber konfigurierte PKI voraussetzt?

Und übrigens ...
azure fs -smb quic
https://learn.microsoft.com/en-us/azure/storage/files/storage-files-plan ...

Gruss Alex
itnirvana
Lösung itnirvana 03.11.2023 um 14:20:01 Uhr
Goto Top
Lösung:

Beim Anmelden holt sich der Benutzer normalerweise ein Kerberos-Token von Azure Storage. Allerdings ist es so, dass der Azure Storage derzeit ausschließlich Kerberos mit einem Token aus der lokalen Umgebung verwenden kann.

Um dieses Problem zu lösen, wird eine Richtlinie umgesetzt, die sicherstellt, dass das Kerberos-Token nicht mehr von Azure, sondern von der lokalen Active Directory-Umgebung erzeugt wird. Dadurch wird gewährleistet, dass der Azure Storage das Kerberos-Token erhält, das von der On-Premises Active Directory generiert wurde.