7
Synology DSM hardening DES kerberos auth
moin Kollegen,
da ich seit langer Zeit im Netz dazu nix finde wollte ich fragen ob den vielleicht jemand weis wie man DES für Kerberos im DSM auf der Kommandozeile abschalten kann?
Siehe auch: https://community.synology.com/enu/forum/17/post/117793
da ich seit langer Zeit im Netz dazu nix finde wollte ich fragen ob den vielleicht jemand weis wie man DES für Kerberos im DSM auf der Kommandozeile abschalten kann?
Siehe auch: https://community.synology.com/enu/forum/17/post/117793
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5028344211
Url: https://administrator.de/contentid/5028344211
Printed on: April 23, 2024 at 22:04 o'clock
7 Comments
Latest comment
Naja als erstes würde ich es ja mal mit der krb5.conf und den Optionen
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
und
allow_weak_crypto = false
versuchen
https://web.mit.edu/kerberos/krb5-latest/doc/admin/enctypes.html
Gruß s.
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
und
allow_weak_crypto = false
versuchen
https://web.mit.edu/kerberos/krb5-latest/doc/admin/enctypes.html
permitted_enctypes
This relation identifies the permitted list of session key encryption types.
allow_weak_crypto
If this is set to 0 (for false), then weak encryption types will be filtered out of the previous three lists. The default value for this tag is false, which may cause authentication failures in existing Kerberos infrastructures that do not support strong crypto. Users in affected environments should set this tag to true until their infrastructure adopts stronger ciphers.
1
Dankeschön!
die config in der /etc/krb5.conf konnte ich zwar ändern, dennoch sagt PingCastle nach einem Neustart und wiederholtem Audit das hier immer noch DES eingeschaltet sei. .
Wenn ich im System nach krb*.conf suche finde ich auch nur diese..
Wenn ich im System nach krb*.conf suche finde ich auch nur diese..
Wird vielleicht durch ein Config-Template on the fly beim Start des Dienstes zusammengebaut oder ist direkt im systemd unit hinterlegt, habe hier keine Synology. Musst du dich halt mal rekursiv durch die Files mit den einschlägigen Stichworten "greppen".
Die Serverseitige Lösung ist, am AD Objekt in den Attribut Editor zu gehen und das Attr. msDS-SupportedEncryptionTypes zu suchen, hier wird die 24 eingetragen (was nur AES bedeutet) und alles ist wieder gut.
Naja davon bin ich ja ausgegangen das das schon gesetzt ist, hatten wir ja gerade erst vorgestern ... Die zwei Haken im Account setzen macht das selbe
Alte DC-Tickets Verschlüsselungen abschalten
Das ist Grundvoraussetzung das das überhaupt mit den Userkonten funktioniert, denn Default ist sonst RC4 only.
Alte DC-Tickets Verschlüsselungen abschalten
Das ist Grundvoraussetzung das das überhaupt mit den Userkonten funktioniert, denn Default ist sonst RC4 only.
Da gebe ich dir vollkommen recht, ich bin auch davon ausgegangen das meine gpo's ziehen was dort wohl nicht der Fall war ;)
