zahni 554 Geschrieben 28. Mai 2018 Melden Teilen Geschrieben 28. Mai 2018 Hi, kennt sich jemand mit der Netapp und CIFS aus (Ontap 9.3)? Unser Sicherheitsbeauftragter möchte, dass ich auf der Netapp den LMCompatibilityLevel auf Kerberos only ändere. Habe ich probiert. User, die in der Domain schon ein Ticket haben, funktionieren. User , die sich direkt anmelden (z.B. der User vom Netapp Virenscanner), funktionieren nicht. Der Netapp erlaubt irgendwie nur DOMAIN\USER und nicht user@domain. ntlmv2-krb klappt dann wieder. Siehe auch https://library.netapp.com/ecmdocs/ECMP1610207/html/GUID-861C90E9-A8B2-405C-9020-0C38679BD72B.html Kennt sich jemand damit aus? Danke im Voraus. -Zahni Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 28. Mai 2018 Melden Teilen Geschrieben 28. Mai 2018 Kann der Sicherheitsbeauftragte den verbot von NTLMv2 begründen? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Mai 2018 Autor Melden Teilen Geschrieben 29. Mai 2018 Eigentlich will er, dass ich SMB Signing erzwinge. Das möchte ich, um Performance-Problemen vorzubeugen, eher nicht. Daher der Kompromiss Kerberos only. Wegen SMB Relay Attack usw. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 (bearbeitet) Ich frage mal beim Partner Support nach und gebe eine Info. Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden? bearbeitet 29. Mai 2018 von djmaker Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Mai 2018 Autor Melden Teilen Geschrieben 29. Mai 2018 vor 4 Stunden schrieb NorbertFe: Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)? Es verursacht auf jeden Fall erhöhte CPU-Last auf der Netapp: https://library.netapp.com/ecmdocs/ECMP1196993/html/GUID-D93B57F2-9AE3-4B99-B055-9942F4BCBC48.html Es gab hier auch schon Bugs, z.B. 162072 (kann ich nicht direkt verlinken), Titel "CIFS signing is enabled by default, causing slow CIFS performance." Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 (bearbeitet) Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;) Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte). Bye Norbert bearbeitet 29. Mai 2018 von NorbertFe Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Mai 2018 Autor Melden Teilen Geschrieben 29. Mai 2018 Sie kann aber auch SMB 3.1 ;) ... Mal sehen. Muss ich außerhalb der Produktion machen, da die CIFS-SVM neu gestartet werden muss. vor 19 Minuten schrieb djmaker: Liegt das Problem nur im Format des Anmeldenamens-Schema (user@domain vs. domain\user) oder ist das Problem in beiden Varianten vorhanden? Anmeldung domain\user klappt nicht, user@domain wird intern nicht akzeptiert vserver vscan... mag nur domain\user . Ich kann im System Manager auch keine User in diesem Format den lokalen CIFS-Gruppen hinzufügen. Ich könnte ja ein Netapp-Ticket ziehen. Hatte bei dem Wetter nur noch keine Lust dazu ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 (bearbeitet) vor 47 Minuten schrieb zahni: Sie kann aber auch SMB 3.1 ;) Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :) bearbeitet 29. Mai 2018 von NorbertFe Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Mai 2018 Autor Melden Teilen Geschrieben 29. Mai 2018 (bearbeitet) Der Sprachgebrauch... Hier steht was zum Thema https://www.netapp.com/us/media/tr-4543.pdf ;) Immerhin darf man die Netapp für Hyper-V benutzen inkl. transparent Failover. SMB Multichannel soll es ab Ontap 9.4 geben. PS: Den Teil mit "SMB Session encryption" zeige ich unserem Sicherheitsbeauftragten besser nicht ;) bearbeitet 29. Mai 2018 von zahni Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 Schön find ich ja die beiden Blogs: http://blog.fosketts.net/2012/02/16/cifs-smb/ https://stealthpuppy.com/smb-not-cifs/ Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 29. Mai 2018 Melden Teilen Geschrieben 29. Mai 2018 @zahni Ich ahbe eine Mail an den Partner Support geschickt. Die sind recht schnell und sehr hilfsbereit. Ich erwarte dazu Mi eine Antwort. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Mai 2018 Autor Melden Teilen Geschrieben 30. Mai 2018 Danke. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 30. Mai 2018 Melden Teilen Geschrieben 30. Mai 2018 Hier die Antwort: Hallo , deine Beschreibung gibt mir das Gefühl, dass es eher ein Problem mit eurem Viren-scan Server ist, der die Kerberos-Anmeldung nicht unterstützt. Eine suche in bekannten Cases hat leider keine 1zu1 Übereinstimmung ergeben. An deiner Stelle würde ich einen NGS Case öffnen, um die Ursache zu ermitteln. Leider kann dir das Partner Solution Center beim Trouble-Shooting nicht helfen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Mai 2018 Autor Melden Teilen Geschrieben 30. Mai 2018 Mal sehen. Ich konnte mich aber auch nicht mehr mit einen Domain User am System Center oder per SSH anmelden. Aktuell gibt unser Sicherheits-Mensch erstmal Ruhe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.