Synology NAS - Authentifizierung über Kerberos
Guten Abend Zusammen,
ich habe mal zum Testen heute über einem TEST-DC alle NTLM Authentifizierung deaktiviert um zu schauen welche Auswirkungen das beim den Arbeitsplatzrechner hat. Danach musste ich Feststellen das der Freigegebene Ordner der über die Synology-NAS läuft nicht mehr erreichbar war.
Meine Frage, wieso läuft dieser überhaupt noch über dieses veraltete Protokoll (NTLM V2)?
Ich bin davon ausgegángen das diese Automatisch über Kerberos laufen und nur wenn diese Art der Kommunikation nicht Möglich ist auf das Schwächere ausweichen, oder irre ich mich da?
Muss man an der Synology noch was Umstellen damit die Authentifizierung über Kerberos läuft?
Die NAS selber ist in der Domäne schon angemeldet, wüsste jetzt nicht was ich da noch machen soll.
ich habe mal zum Testen heute über einem TEST-DC alle NTLM Authentifizierung deaktiviert um zu schauen welche Auswirkungen das beim den Arbeitsplatzrechner hat. Danach musste ich Feststellen das der Freigegebene Ordner der über die Synology-NAS läuft nicht mehr erreichbar war.
Meine Frage, wieso läuft dieser überhaupt noch über dieses veraltete Protokoll (NTLM V2)?
Ich bin davon ausgegángen das diese Automatisch über Kerberos laufen und nur wenn diese Art der Kommunikation nicht Möglich ist auf das Schwächere ausweichen, oder irre ich mich da?
Muss man an der Synology noch was Umstellen damit die Authentifizierung über Kerberos läuft?
Die NAS selber ist in der Domäne schon angemeldet, wüsste jetzt nicht was ich da noch machen soll.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4940470424
Url: https://administrator.de/forum/synology-nas-authentifizierung-ueber-kerberos-4940470424.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
du must den Synology Directory Server konfigurieren damit die Kerberos auth. geht.... (funktioniert nicht bei allen Modellen.)
guckst du hier ;)
www.synology.com/de-de/dsm/packages/DirectoryServerForWindowsDomain
Gruß
O.Gensch
du must den Synology Directory Server konfigurieren damit die Kerberos auth. geht.... (funktioniert nicht bei allen Modellen.)
guckst du hier ;)
www.synology.com/de-de/dsm/packages/DirectoryServerForWindowsDomain
Gruß
O.Gensch
Prüfe ob die SPNs am DC für die von der Synology genutzten FQDNs existieren und verbinde dich mal per SSH mit der Syno und checke die SMB Config.
Damit Kerberos genutzt wird ist zwingend die Nutzung von Domain-Namen statt IP Adressen beim Zugriff erforderlich und die SPNs für die Devices müssen existieren.
Gruß s.
Damit Kerberos genutzt wird ist zwingend die Nutzung von Domain-Namen statt IP Adressen beim Zugriff erforderlich und die SPNs für die Devices müssen existieren.
Gruß s.
Naja als erstes mal am Client die Freigabe über diese Namen ansprechen
Dabei hilft wenn man schon mal eine Linux Büchse manuell dem AD hinzugefügt hat. Infos dazu findest du aber zu Hauf im Netz.
\\OPI.domain.tld\share
. Und mal auf der Syno schauen ob die die Hashes nicht als NTLM sondern Kerberos Hashes abgelegt werden (SSH > smb.conf / krb5.conf etc. die üblichen Einträge für die Verwendung und das Anbieten von Kerberos an Clients manuell überprüfen).Dabei hilft wenn man schon mal eine Linux Büchse manuell dem AD hinzugefügt hat. Infos dazu findest du aber zu Hauf im Netz.
Ich habe versucht über Explorer den Pfad "\\OPI.domain.tld\share", geht aber nicht.
Dann stimmt was mit deinem DNS nicht.Da stellt sich für mich die Frage ob die zwei lookups aktiviert werden müssen, stehen ja auf false
Besser ist das.Zitat von @watIsLos:
Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
Habe leider keine Synology zum Testen hier ...Stelle ich die NTLM-Authentifizierung in dieser Domäne auf alles verweigern, kommt die Meldung im Synology
(NTLM Dienst deaktiviert)
und ich kann dann per \\192.168.69.137\ nicht auf das NAS zugreifen, komischerweise per Name \\opi geht es wiederrum.
Das ist normal weil StrictNameChecking aktiv und Kerberos erfordert das. Alternative Namen fügt man per netdom
hinzuZitat von @watIsLos:
Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Musst du ja auch nicht nur wenn man alternative andere Namen für das NAS verwenden will ist das nötig, deine Namen sind ja schon in den SPNs hinterlegt. da hattest du mich falsch verstanden.Was ich noch nicht ganz verstehe, wozu z.B. per netdom das NAS nochmal ins die Domäne hhinzufügen wenn die schon drin ist? oder habe ich dich falsch verstanden...
Der FQDN muss beim Zugriff per SMB aber auch funktionieren nicht nur der NB Name. Da würde ich mir mal den Client vornehmen und mal einen Wireshark Mitschnitt anfertigen.