user217
Goto Top

Synology DSM hardening DES kerberos auth

moin Kollegen,

da ich seit langer Zeit im Netz dazu nix finde wollte ich fragen ob den vielleicht jemand weis wie man DES für Kerberos im DSM auf der Kommandozeile abschalten kann?
Siehe auch: https://community.synology.com/enu/forum/17/post/117793

Content-ID: 5028344211

Url: https://administrator.de/forum/synology-dsm-hardening-des-kerberos-auth-5028344211.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

4863114660
Lösung 4863114660 20.12.2022 aktualisiert um 08:49:58 Uhr
Goto Top
Naja als erstes würde ich es ja mal mit der krb5.conf und den Optionen
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
und
allow_weak_crypto = false
versuchen
https://web.mit.edu/kerberos/krb5-latest/doc/admin/enctypes.html
permitted_enctypes
   This relation identifies the permitted list of session key encryption types.

allow_weak_crypto
    If this is set to 0 (for false), then weak encryption types will be filtered out of the previous three lists. The default value for this tag is false, which may cause authentication failures in existing Kerberos infrastructures that do not support strong crypto. Users in affected environments should set this tag to true until their infrastructure adopts stronger ciphers.
Gruß s.
user217
user217 20.12.2022 um 09:09:01 Uhr
Goto Top
Dankeschön!
user217
user217 20.12.2022 aktualisiert um 09:30:17 Uhr
Goto Top
die config in der /etc/krb5.conf konnte ich zwar ändern, dennoch sagt PingCastle nach einem Neustart und wiederholtem Audit das hier immer noch DES eingeschaltet sei. .
Wenn ich im System nach krb*.conf suche finde ich auch nur diese..
4863114660
4863114660 20.12.2022 aktualisiert um 09:43:19 Uhr
Goto Top
Wird vielleicht durch ein Config-Template on the fly beim Start des Dienstes zusammengebaut oder ist direkt im systemd unit hinterlegt, habe hier keine Synology. Musst du dich halt mal rekursiv durch die Files mit den einschlägigen Stichworten "greppen".
user217
Lösung user217 20.12.2022 um 10:12:42 Uhr
Goto Top
Die Serverseitige Lösung ist, am AD Objekt in den Attribut Editor zu gehen und das Attr. msDS-SupportedEncryptionTypes zu suchen, hier wird die 24 eingetragen (was nur AES bedeutet) und alles ist wieder gut.
4863114660
4863114660 20.12.2022 aktualisiert um 10:32:54 Uhr
Goto Top
Naja davon bin ich ja ausgegangen das das schon gesetzt ist, hatten wir ja gerade erst vorgestern ... Die zwei Haken im Account setzen macht das selbe
Alte DC-Tickets Verschlüsselungen abschalten
Das ist Grundvoraussetzung das das überhaupt mit den Userkonten funktioniert, denn Default ist sonst RC4 only.
user217
user217 20.12.2022 um 10:45:58 Uhr
Goto Top
Da gebe ich dir vollkommen recht, ich bin auch davon ausgegangen das meine gpo's ziehen was dort wohl nicht der Fall war ;)