สำหรับการใช้รหัสผ่านร่วมกันของแซมบ้าบนเครือข่ายในบ้าน ntlm vs ntlmv2 vs krb5 (kerberos)?


0

ฉันมีเครือข่ายในบ้านพร้อม wifi ที่มีการป้องกันด้วยรหัสผ่าน ในเครือข่ายภายในบ้านของฉันฉันมีไฟล์เซิร์ฟเวอร์ที่มีรหัสผ่านของแซมบ้าป้องกันอยู่ การแชร์นั้นได้รับการปกป้องเพราะเครือข่ายของฉันมีหลายเครื่องที่มีผู้ใช้หลายคนและฉันต้องการให้แน่ใจว่ามีเพียงฉันเท่านั้นที่สามารถเข้าถึงการแชร์นี้จากเครื่องที่ฉันใช้อยู่ในเวลานั้น (ขออภัยที่ระบุชัดเจน แต่ฉันต้องการ จาก "คุณอยู่ในเครือข่ายในบ้านและ wifi ของคุณได้รับการป้องกัน pw อยู่แล้วเหตุใดคุณจึงต้องการการป้องกัน pw สำหรับการแชร์เอง" เป็นต้น)

ปัจจุบันนี้เป็นวิธีที่ฉันจะแบ่งปันหุ้นแซมบ้าของฉัน (หมายเหตุส่วนที่เกี่ยวข้องกับคำถามของฉันคือsec=ntlm):

mount -t cifs //myserver/myshare /media/myshare -o uid=myunixuser,gid=myunixgroup,credentials=/home/myunixuser/.smbcredentials,iocharset=utf8,sec=ntlm,file_mode=0600,dir_mode=0700

จนถึงตอนนี้ดีมาก; อย่างไรก็ตามฉันได้อ่านบทความเกี่ยวกับประเภทความปลอดภัยหลายประการแล้วและทำไมจึงไม่แนะนำให้ใช้ NTLM yada yada (ดูบทความ " เวลาผ่านไปของ NTLM ") ฉันไป "ntlm vs ntlmv2 vs kerberos" และพยายามที่จะเรียนรู้เพิ่มเติมโดยการอ่านบทความ Wikipedia เกี่ยวกับ NTLMและหน้าคน Ubuntu ในหัวข้อนี้แต่มันไม่ได้ลงทะเบียนสำหรับฉัน

ฉันรู้สึกว่าเอกสารส่วนใหญ่มีไว้สำหรับผู้ดูแลระบบเครือข่ายและฉันเป็นนักรบวันหยุดสุดสัปดาห์ โดยทั่วไปแล้วฉันรวบรวมว่า NTLMv2 เป็นที่ต้องการของ NTLM เช่นเดียวกับ Kerberos แต่นั่นไม่ได้หมายความว่าฉันควรเลือก v2 หรือ Kerberos โดยอัตโนมัติเพราะไคลเอ็นต์ไม่สนับสนุนทั้งหมด โซโหอะไรห่า? มีใครที่สามารถทำให้ฉันโง่ได้บ้าง? แม้ว่าฉันจะติดกับ NTLM ฉันแค่อยากจะเข้าใจว่าอะไรคือข้อตกลงกับตัวเลือกความปลอดภัยที่แตกต่างกันเหล่านี้ โปรดแจ้งให้เราทราบหากฉันคิดหนักเกินไปเกี่ยวกับเรื่องนี้ ขอบคุณ

คำตอบ:


1

ไคลเอนต์ Windows รองรับทั้งสามเช่นเดียวกับเคอร์เนล Linux ล่าสุด ฉันไม่รู้เกี่ยวกับไคลเอนต์สมัยใหม่ที่ไม่รองรับ NTLMv2 แม้ว่า Kerberos จะเป็นเรื่องธรรมดาน้อยกว่าเล็กน้อย

ความแตกต่างที่สำคัญระหว่าง NTLM และ Kerberos คือ:

  • NTLM เป็นกลไกตอบสนองต่อความท้าทายที่ทำงานกับรหัสผ่านเพียงอย่างเดียว ดังนั้นจึงสามารถใช้งานได้ระหว่างโฮสต์สองแห่งตราบใดที่ไคลเอนต์รู้รหัสผ่านที่เซิร์ฟเวอร์ต้องการ

  • Kerberos เป็นฐานตั๋ว ลูกค้าจะได้รับตั๋วเข้าสู่ระบบจากส่วนกลาง KDC และนำเสนอไปยังเซิร์ฟเวอร์ สิ่งนี้จำเป็นต้องมีการตั้งค่าอาณาจักร Kerberos - ในกรณีของ CIFS โดยปกติแล้วจะเป็นโดเมน Active Directory และ KDC ของอาณาจักรนั้นโฮสต์อยู่ที่ไหนสักแห่ง

    (Mac OS X - ซึ่งเคยชอบโปรโตคอล AFP มากกว่า CIFS - จริง ๆ แล้วจัดการการใช้ Kerberos ระหว่างเพื่อนสองคนโดยใช้ชื่อ realm ที่สร้างอัตโนมัติ แต่ไม่มี Windows หรือ Linux รองรับเหมือนกัน)

อย่างไรก็ตาม:

  • ความปลอดภัยของ NTLM เวอร์ชัน 1 นั้นใกล้เคียงกับการส่งรหัสผ่านแบบธรรมดา NTLMv2 ปรับปรุงให้ดีขึ้นบ้างแต่ฉันไม่แน่ใจเท่าไหร่

  • ในขณะเดียวกัน Kerberos 5 ถือว่าปลอดภัยมากและใช้งานโดย Active Directory, FreeIPA และซอฟต์แวร์บริการไดเรกทอรีอื่น ๆ ของ Unix

น่าเสียดายที่ Kerberos ใช้เวลาสักครู่ในการตั้งค่าและไคลเอนต์ Windows รองรับอย่างถูกต้องเท่านั้น(เช่นโดยไม่ต้องใช้เวลา 3 วัน) เมื่อทั้งไคลเอนต์และเซิร์ฟเวอร์อยู่ในโดเมน AD

ดังนั้นคุณจะต้องเลือก NTLMv2 ในตอนนี้ เป็นสิ่งที่เครื่อง Windows แบบสแตนด์อโลนใช้ตามค่าเริ่มต้น (ค่าเริ่มต้นในเมล็ด Linux สมัยใหม่คือsec=ntlmssp; ฉันไม่แน่ใจทั้งหมดว่ามันแตกต่างกันntlmv2อย่างไร, ถึงแม้ว่าฉันรู้ว่าความแตกต่างนั้นไม่มีผลกระทบด้านความปลอดภัย)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.