ホームネットワーク上のパスワードで保護されたSamba共有の場合、ntlm対ntlmv2対krb5(kerberos)?


0

パスワードで保護されたwifiを備えたホームネットワークがあります。私のホームネットワークには、パスワードで保護されたSamba共有を持つファイルサーバーがあります。ネットワークには複数のユーザーを持つ複数のマシンがあり、その時点で使用しているマシンからのみこの共有にアクセスできることを確認したいため、共有自体は保護されています「あなたはホームネットワーク上にあり、wifiは既にpwで保護されているのに、なぜ共有自体にpw保護が必要なのですか?」など。

現在、これは私が私のSamba共有をマウントする方法です(注、私の質問に関連する部分はですsec=ntlm):

mount -t cifs //myserver/myshare /media/myshare -o uid=myunixuser,gid=myunixgroup,credentials=/home/myunixuser/.smbcredentials,iocharset=utf8,sec=ntlm,file_mode=0600,dir_mode=0700

ここまでは順調ですね; ただし、セキュリティの種類とNTLMが推奨されない理由に関するいくつかの記事を読んでいます(やだやだ(記事「NTLMの時代が過ぎた」を参照)。「ntlm vs ntlmv2 vs kerberos」をグーグル検索し、NTLMについてウィキペディアの記事このトピックのUbuntuのマニュアルページを読んで詳細を学ぼうとしましたが、完全に登録されていません。

そこにあるほとんどのドキュメントはネットワーク管理者向けであり、私は週末の戦士のようです。一般に、NTLMv2はKerberosと同様にNTLMよりも優先されることを収集しますが、すべてのクライアントがそれらをサポートするわけではないため、v2またはKerberosを自動的に選択する必要があるわけではありません。すごい、一体何?誰かが私のためにそれを馬鹿にすることはできますか?NTLMに固執していても、これらのさまざまなセキュリティオプションの対処方法を理解したいだけです。これについて考えすぎている場合はお知らせください。ありがとう。

回答:


1

Windowsクライアントは、最近のLinuxカーネルと同様に、3つすべてをサポートしています。Kerberosはあまり一般的ではありませんが、NTLMv2をサポートしない最新のクライアントは知りませ

NTLMとKerberosの主な違いは次のとおりです。

  • NTLMは、パスワードだけで機能するチャレンジ/レスポンスメカニズムです。したがって、クライアントがサーバーが必要とするパスワードを知っている限り、2つのホスト間で使用できます。

  • Kerberosはチケットベースです。クライアントは中央KDCからログインチケットを取得し、サーバーに提示します。これには、Kerberosレルムをセットアップする必要があります(CIFSの場合、通常はActive Directoryドメインです)。レルムのKDCはどこかでホストされます。

    (以前はCIFSよりもAFPプロトコルを優先していたMac OS Xは、実際には自動生成されたレルム名を使用して2つのピア間でKerberosを使用しますが、WindowsもLinuxも同じをサポートしません。)

しかしながら:

  • NTLMバージョン1のセキュリティは、単純にパスワードを送信するだけのセキュリティに非常に近いです。NTLMv2はこれを幾分改善します、どの程度かはわかりません。

  • 一方、Kerberos 5は非常に安全であると見なされており、Active Directory、FreeIPA、およびその他のさまざまなUnixディレクトリサービスソフトウェアで使用されています。

残念ながら、Kerberosはセットアップに時間がかかり、Windowsクライアントは、クライアントとサーバーの両方がADドメインに属している場合にのみ適切に(つまり3日間を費やすことなく)サポートします。

今のところ、NTLMv2を選択する必要があります。とにかく、デフォルトでスタンドアロンWindowsマシンが使用するものです。(最新のLinuxカーネルのデフォルトはsec=ntlmssp、どのような違いがあるのか​​は完全ntlmv2にはわかりませんが、違いがセキュリティに影響を与えることはありません。)

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.