17
Synology NAS - Authentifizierung über Kerberos
Guten Abend Zusammen,
ich habe mal zum Testen heute über einem TEST-DC alle NTLM Authentifizierung deaktiviert um zu schauen welche Auswirkungen das beim den Arbeitsplatzrechner hat. Danach musste ich Feststellen das der Freigegebene Ordner der über die Synology-NAS läuft nicht mehr erreichbar war.
Meine Frage, wieso läuft dieser überhaupt noch über dieses veraltete Protokoll (NTLM V2)?
Ich bin davon ausgegángen das diese Automatisch über Kerberos laufen und nur wenn diese Art der Kommunikation nicht Möglich ist auf das Schwächere ausweichen, oder irre ich mich da?
Muss man an der Synology noch was Umstellen damit die Authentifizierung über Kerberos läuft?
Die NAS selber ist in der Domäne schon angemeldet, wüsste jetzt nicht was ich da noch machen soll.
ich habe mal zum Testen heute über einem TEST-DC alle NTLM Authentifizierung deaktiviert um zu schauen welche Auswirkungen das beim den Arbeitsplatzrechner hat. Danach musste ich Feststellen das der Freigegebene Ordner der über die Synology-NAS läuft nicht mehr erreichbar war.
Meine Frage, wieso läuft dieser überhaupt noch über dieses veraltete Protokoll (NTLM V2)?
Ich bin davon ausgegángen das diese Automatisch über Kerberos laufen und nur wenn diese Art der Kommunikation nicht Möglich ist auf das Schwächere ausweichen, oder irre ich mich da?
Muss man an der Synology noch was Umstellen damit die Authentifizierung über Kerberos läuft?
Die NAS selber ist in der Domäne schon angemeldet, wüsste jetzt nicht was ich da noch machen soll.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4940470424
Url: https://administrator.de/contentid/4940470424
Printed on: April 23, 2024 at 20:04 o'clock
17 Comments
Latest comment
Hallo,
du must den Synology Directory Server konfigurieren damit die Kerberos auth. geht.... (funktioniert nicht bei allen Modellen.)
guckst du hier ;)
www.synology.com/de-de/dsm/packages/DirectoryServerForWindowsDomain
Gruß
O.Gensch
du must den Synology Directory Server konfigurieren damit die Kerberos auth. geht.... (funktioniert nicht bei allen Modellen.)
guckst du hier ;)
www.synology.com/de-de/dsm/packages/DirectoryServerForWindowsDomain
Gruß
O.Gensch
Morgen Gensch,
was ich dann nicht verstehe, ich habe mich doch schon in der Domäne angemeldet mit dem NAS. Die Benutzer werden mir dann auch alle angezeigt, und nur wegen Kerberos muss ich dann noch ein eigenständiges DS einrichten? hast du das selber schon ausprobiert? wie komplex ist das, oder ist das nur APP runterladen und mit DC verbinden?
was ich dann nicht verstehe, ich habe mich doch schon in der Domäne angemeldet mit dem NAS. Die Benutzer werden mir dann auch alle angezeigt, und nur wegen Kerberos muss ich dann noch ein eigenständiges DS einrichten? hast du das selber schon ausprobiert? wie komplex ist das, oder ist das nur APP runterladen und mit DC verbinden?
Prüfe ob die SPNs am DC für die von der Synology genutzten FQDNs existieren und verbinde dich mal per SSH mit der Syno und checke die SMB Config.
Damit Kerberos genutzt wird ist zwingend die Nutzung von Domain-Namen statt IP Adressen beim Zugriff erforderlich und die SPNs für die Devices müssen existieren.
Gruß s.
Damit Kerberos genutzt wird ist zwingend die Nutzung von Domain-Namen statt IP Adressen beim Zugriff erforderlich und die SPNs für die Devices müssen existieren.
Gruß s.
Ich stimme @4863114660 zu. Das wird reichen.
Den Synology Directory Server brauchst Du dafür nicht. Wäre nicht vernünftig einen eigenen Directory Service zu nutzen, da ja eine Domäne schon da ist.
Den Synology Directory Server brauchst Du dafür nicht. Wäre nicht vernünftig einen eigenen Directory Service zu nutzen, da ja eine Domäne schon da ist.
Moin Schlepper,
Moin DerWoWusste,
das mit den SPNs war mir nich bewusst...
Ich habe gerade auf dem DC nachgeschaut, das ServicePrincipalName ist dem Computer zugewiesen:
Muss es noch wo anders eingetragen sein?
Moin DerWoWusste,
das mit den SPNs war mir nich bewusst...
Ich habe gerade auf dem DC nachgeschaut, das ServicePrincipalName ist dem Computer zugewiesen:
Muss es noch wo anders eingetragen sein?
Naja als erstes mal am Client die Freigabe über diese Namen ansprechen
Dabei hilft wenn man schon mal eine Linux Büchse manuell dem AD hinzugefügt hat. Infos dazu findest du aber zu Hauf im Netz.
\\OPI.domain.tld\share. Und mal auf der Syno schauen ob die die Hashes nicht als NTLM sondern Kerberos Hashes abgelegt werden (SSH > smb.conf / krb5.conf etc. die üblichen Einträge für die Verwendung und das Anbieten von Kerberos an Clients manuell überprüfen).Dabei hilft wenn man schon mal eine Linux Büchse manuell dem AD hinzugefügt hat. Infos dazu findest du aber zu Hauf im Netz.
Ich habe versucht über Explorer den Pfad "\\OPI.domain.tld\share", geht aber nicht.
Der Pfad \\OPI funktioniert aber!
Über SSH habe ich das auslesen können.
Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false..
Ich sehe aber auch das der kpasswd_server über den Port 464 läuft, dass muss ich gleich mal checken ob die Firewall die blockt und deswegen keine kerberos Authentifizierung erfolgt...
Der Pfad \\OPI funktioniert aber!
Über SSH habe ich das auslesen können.
Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false..
Ich sehe aber auch das der kpasswd_server über den Port 464 läuft, dass muss ich gleich mal checken ob die Firewall die blockt und deswegen keine kerberos Authentifizierung erfolgt...
Ich habe versucht über Explorer den Pfad "\\OPI.domain.tld\share", geht aber nicht.
Dann stimmt was mit deinem DNS nicht.Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false
Besser ist das.
Auch mal die Updates heute am DC installieren, denn mit Kerberos gab es Authentifizierungsprobleme seit dem Novemberpatch, wenn RC4 nicht erlaubt war!
1
@DerWoWusste
Meinst du diese?
Kumulative Updates:
Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654
Meinst du diese?
Kumulative Updates:
Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654
@4863114660
Also ich habe mal jetzt paar Test's durchgeführt.
Wenn ich NTLM per DC erlaube läuft der NAS Test sauber ab (alles grün)
Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
Also ich habe mal jetzt paar Test's durchgeführt.
Wenn ich NTLM per DC erlaube läuft der NAS Test sauber ab (alles grün)
Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
Ich habe jetzt mal:
NTLM: Eingehender NTLM Datenverkehr auf (alles verweigern) gestellt!
damit ist ja schon mehr Sicherheit gegeben.
Der andere Punkt mit dem:
NTLM-Authentifizierung in dieser Domäne (mit allem verweigern) geht leider noch nicht wie es mir wünsche...
Wie gesagt ich kann dann über die IP nicht mehr auf das NAS zugreifen, obwohl in den Ereignisanzige protokolliert wird das das NAS erfolgreich sich über kerberos authentifiziert.
NTLM: Eingehender NTLM Datenverkehr auf (alles verweigern) gestellt!
damit ist ja schon mehr Sicherheit gegeben.
Der andere Punkt mit dem:
NTLM-Authentifizierung in dieser Domäne (mit allem verweigern) geht leider noch nicht wie es mir wünsche...
Wie gesagt ich kann dann über die IP nicht mehr auf das NAS zugreifen, obwohl in den Ereignisanzige protokolliert wird das das NAS erfolgreich sich über kerberos authentifiziert.
Zitat von @watIsLos:
Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
Habe leider keine Synology zum Testen hier ...Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
Das ist normal weil StrictNameChecking aktiv und Kerberos erfordert das. Alternative Namen fügt man per netdom hinzu
@4863114660
Das NAS ist im DNS bekannt(CNAME) und auch als Objekt ist es im DC hinterlegt, wurde ja erfolgreich in die Domäne angemeldet.
Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Das NAS ist im DNS bekannt(CNAME) und auch als Objekt ist es im DC hinterlegt, wurde ja erfolgreich in die Domäne angemeldet.
Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Zitat von @watIsLos:
Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Musst du ja auch nicht nur wenn man alternative andere Namen für das NAS verwenden will ist das nötig, deine Namen sind ja schon in den SPNs hinterlegt. da hattest du mich falsch verstanden.Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Der FQDN muss beim Zugriff per SMB aber auch funktionieren nicht nur der NB Name. Da würde ich mir mal den Client vornehmen und mal einen Wireshark Mitschnitt anfertigen.
1
Okay, werde ich mir die Tage anschauen bzw. checken!
Danke!
Danke!
Ja, diese Updates meinte ich. Heute Abend kommt eh ein neues kumulatives um 19 Uhr raus, nebenbei bemerkt.
