Synology DSM hardening DES kerberos auth
moin Kollegen,
da ich seit langer Zeit im Netz dazu nix finde wollte ich fragen ob den vielleicht jemand weis wie man DES für Kerberos im DSM auf der Kommandozeile abschalten kann?
Siehe auch: https://community.synology.com/enu/forum/17/post/117793
da ich seit langer Zeit im Netz dazu nix finde wollte ich fragen ob den vielleicht jemand weis wie man DES für Kerberos im DSM auf der Kommandozeile abschalten kann?
Siehe auch: https://community.synology.com/enu/forum/17/post/117793
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5028344211
Url: https://administrator.de/forum/synology-dsm-hardening-des-kerberos-auth-5028344211.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
7 Kommentare
Neuester Kommentar
Naja als erstes würde ich es ja mal mit der krb5.conf und den Optionen
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
und
allow_weak_crypto = false
versuchen
https://web.mit.edu/kerberos/krb5-latest/doc/admin/enctypes.html
Gruß s.
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
und
allow_weak_crypto = false
versuchen
https://web.mit.edu/kerberos/krb5-latest/doc/admin/enctypes.html
permitted_enctypes
This relation identifies the permitted list of session key encryption types.
allow_weak_crypto
If this is set to 0 (for false), then weak encryption types will be filtered out of the previous three lists. The default value for this tag is false, which may cause authentication failures in existing Kerberos infrastructures that do not support strong crypto. Users in affected environments should set this tag to true until their infrastructure adopts stronger ciphers.
Wird vielleicht durch ein Config-Template on the fly beim Start des Dienstes zusammengebaut oder ist direkt im systemd unit hinterlegt, habe hier keine Synology. Musst du dich halt mal rekursiv durch die Files mit den einschlägigen Stichworten "greppen".
Naja davon bin ich ja ausgegangen das das schon gesetzt ist, hatten wir ja gerade erst vorgestern ... Die zwei Haken im Account setzen macht das selbe
Alte DC-Tickets Verschlüsselungen abschalten
Das ist Grundvoraussetzung das das überhaupt mit den Userkonten funktioniert, denn Default ist sonst RC4 only.
Alte DC-Tickets Verschlüsselungen abschalten
Das ist Grundvoraussetzung das das überhaupt mit den Userkonten funktioniert, denn Default ist sonst RC4 only.