watislos
Goto Top

Synology NAS - Authentifizierung über Kerberos

Guten Abend Zusammen,

ich habe mal zum Testen heute über einem TEST-DC alle NTLM Authentifizierung deaktiviert um zu schauen welche Auswirkungen das beim den Arbeitsplatzrechner hat. Danach musste ich Feststellen das der Freigegebene Ordner der über die Synology-NAS läuft nicht mehr erreichbar war.

Meine Frage, wieso läuft dieser überhaupt noch über dieses veraltete Protokoll (NTLM V2)?

Ich bin davon ausgegángen das diese Automatisch über Kerberos laufen und nur wenn diese Art der Kommunikation nicht Möglich ist auf das Schwächere ausweichen, oder irre ich mich da?

Muss man an der Synology noch was Umstellen damit die Authentifizierung über Kerberos läuft?
Die NAS selber ist in der Domäne schon angemeldet, wüsste jetzt nicht was ich da noch machen soll.

Content-Key: 4940470424

Url: https://administrator.de/contentid/4940470424

Printed on: July 20, 2024 at 20:07 o'clock

Member: O.Gensch
O.Gensch Dec 12, 2022 at 22:36:44 (UTC)
Goto Top
Hallo,

du must den Synology Directory Server konfigurieren damit die Kerberos auth. geht.... (funktioniert nicht bei allen Modellen.)

guckst du hier ;)

www.synology.com/de-de/dsm/packages/DirectoryServerForWindowsDomain


Gruß

O.Gensch
Member: watIsLos
watIsLos Dec 13, 2022 updated at 07:02:29 (UTC)
Goto Top
Morgen Gensch,
was ich dann nicht verstehe, ich habe mich doch schon in der Domäne angemeldet mit dem NAS. Die Benutzer werden mir dann auch alle angezeigt, und nur wegen Kerberos muss ich dann noch ein eigenständiges DS einrichten? hast du das selber schon ausprobiert? wie komplex ist das, oder ist das nur APP runterladen und mit DC verbinden?
Mitglied: 4863114660
4863114660 Dec 13, 2022 updated at 07:31:20 (UTC)
Goto Top
Prüfe ob die SPNs am DC für die von der Synology genutzten FQDNs existieren und verbinde dich mal per SSH mit der Syno und checke die SMB Config.
Damit Kerberos genutzt wird ist zwingend die Nutzung von Domain-Namen statt IP Adressen beim Zugriff erforderlich und die SPNs für die Devices müssen existieren.

Gruß s.
Member: DerWoWusste
DerWoWusste Dec 13, 2022 at 08:39:46 (UTC)
Goto Top
Ich stimme @4863114660 zu. Das wird reichen.
Den Synology Directory Server brauchst Du dafür nicht. Wäre nicht vernünftig einen eigenen Directory Service zu nutzen, da ja eine Domäne schon da ist.
Member: watIsLos
watIsLos Dec 13, 2022 updated at 08:52:08 (UTC)
Goto Top
Moin Schlepper,
Moin DerWoWusste,

das mit den SPNs war mir nich bewusst...
Ich habe gerade auf dem DC nachgeschaut, das ServicePrincipalName ist dem Computer zugewiesen:
Muss es noch wo anders eingetragen sein?
opi
Mitglied: 4863114660
4863114660 Dec 13, 2022 updated at 09:39:00 (UTC)
Goto Top
Zitat von @watIsLos:
Muss es noch wo anders eingetragen sein?
Naja als erstes mal am Client die Freigabe über diese Namen ansprechen \\OPI.domain.tld\share. Und mal auf der Syno schauen ob die die Hashes nicht als NTLM sondern Kerberos Hashes abgelegt werden (SSH > smb.conf / krb5.conf etc. die üblichen Einträge für die Verwendung und das Anbieten von Kerberos an Clients manuell überprüfen).
Dabei hilft wenn man schon mal eine Linux Büchse manuell dem AD hinzugefügt hat. Infos dazu findest du aber zu Hauf im Netz.
Member: watIsLos
watIsLos Dec 13, 2022 updated at 11:01:49 (UTC)
Goto Top
Ich habe versucht über Explorer den Pfad "\\OPI.domain.tld\share", geht aber nicht.
Der Pfad \\OPI funktioniert aber!

Über SSH habe ich das auslesen können.
Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false..

Ich sehe aber auch das der kpasswd_server über den Port 464 läuft, dass muss ich gleich mal checken ob die Firewall die blockt und deswegen keine kerberos Authentifizierung erfolgt...
ssh
Mitglied: 4863114660
4863114660 Dec 13, 2022 updated at 11:04:28 (UTC)
Goto Top
Ich habe versucht über Explorer den Pfad "\\OPI.domain.tld\share", geht aber nicht.
Dann stimmt was mit deinem DNS nicht.
Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false
Besser ist das.
Member: DerWoWusste
DerWoWusste Dec 13, 2022 at 11:48:13 (UTC)
Goto Top
Auch mal die Updates heute am DC installieren, denn mit Kerberos gab es Authentifizierungsprobleme seit dem Novemberpatch, wenn RC4 nicht erlaubt war!
Member: watIsLos
watIsLos Dec 13, 2022 at 11:57:03 (UTC)
Goto Top
@DerWoWusste

Meinst du diese?

Kumulative Updates:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654
Member: watIsLos
watIsLos Dec 13, 2022 at 12:01:21 (UTC)
Goto Top
@4863114660

Also ich habe mal jetzt paar Test's durchgeführt.

Wenn ich NTLM per DC erlaube läuft der NAS Test sauber ab (alles grün)

Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)

und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
synology2
Member: watIsLos
watIsLos Dec 13, 2022 updated at 12:16:12 (UTC)
Goto Top
Ich habe jetzt mal:

NTLM: Eingehender NTLM Datenverkehr auf (alles verweigern) gestellt!

damit ist ja schon mehr Sicherheit gegeben.

Der andere Punkt mit dem:

NTLM-Authentifizierung in dieser Domäne (mit allem verweigern) geht leider noch nicht wie es mir wünsche...
Wie gesagt ich kann dann über die IP nicht mehr auf das NAS zugreifen, obwohl in den Ereignisanzige protokolliert wird das das NAS erfolgreich sich über kerberos authentifiziert.
ntlm
Mitglied: 4863114660
4863114660 Dec 13, 2022 updated at 12:19:42 (UTC)
Goto Top
Zitat von @watIsLos:
Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
Habe leider keine Synology zum Testen hier ...
und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
Das ist normal weil StrictNameChecking aktiv und Kerberos erfordert das. Alternative Namen fügt man per netdom hinzu
Member: watIsLos
watIsLos Dec 13, 2022 at 12:26:14 (UTC)
Goto Top
@4863114660

Das NAS ist im DNS bekannt(CNAME) und auch als Objekt ist es im DC hinterlegt, wurde ja erfolgreich in die Domäne angemeldet.

Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Mitglied: 4863114660
4863114660 Dec 13, 2022 updated at 12:30:46 (UTC)
Goto Top
Zitat von @watIsLos:
Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Musst du ja auch nicht nur wenn man alternative andere Namen für das NAS verwenden will ist das nötig, deine Namen sind ja schon in den SPNs hinterlegt. da hattest du mich falsch verstanden.
Der FQDN muss beim Zugriff per SMB aber auch funktionieren nicht nur der NB Name. Da würde ich mir mal den Client vornehmen und mal einen Wireshark Mitschnitt anfertigen.
Member: watIsLos
watIsLos Dec 13, 2022 at 13:53:09 (UTC)
Goto Top
Okay, werde ich mir die Tage anschauen bzw. checken!
Danke!
Member: DerWoWusste
DerWoWusste Dec 13, 2022 at 14:08:02 (UTC)
Goto Top
Ja, diese Updates meinte ich. Heute Abend kommt eh ein neues kumulatives um 19 Uhr raus, nebenbei bemerkt.