Назад | Перейти на главную страницу

Отказано в доступе к общему ресурсу IPC $ на контроллере домена Windows, когда сеанс SMB настроен с использованием Kerberos 5

Я пишу систему, которая выполняет вход пользователя в систему и обеспечивает доступ с единой авторизацией к общим ресурсам SMB в сети.

Вход пользователя осуществляется с помощью Kerberos 5, чтобы проверить личность пользователя и получить билет TGT. При доступе к общему ресурсу SMB билет TGT используется для получения билета TGS для сервера, на котором размещен общий ресурс, и настройка сеанса выполняется с этим TGS (с помощью этого достижения SSO).

Все работает нормально, пока пользователь не попытается получить доступ к общему ресурсу SMB на контроллере домена. В этом случае DC вернет STATUS_ACCESS_DENIED в запрос на подключение к дереву, как показано в приведенной ниже ссылке.

Wireshark захват

Пользователь является членом группы администраторов домена. Таким образом, должен иметь доступ к доле IPC $.

Интересно то, что если вместо выполнения установки сеанса с помощью TGS я выполняю ее с помощью NTLMSSP (с использованием тех же учетных данных пользователя), DC позволяет подключение к акции.

Почему сеансу SMB назначаются разные разрешения в зависимости от выполняемой аутентификации (NTLMSSP или Kerberos 5)?

Это пахнет конфигурацией GPO / GPP, но мои знания об этом очень ограничены.

Требуются ли дальнейшие шаги в настройке сеанса для контроллера домена при использовании Kerberos 5? Или можно с уверенностью предположить, что я делаю это правильно, если сервер возвращает STATUS_SUCCESS?

Пара замечаний:

Клиент SMB всегда пытается подключиться к общему ресурсу IPC $ для выполнения некоторых операций IOCTL перед подключением к требуемому общему ресурсу.
Я убедился, что дата и время моей системы синхронизированы с контроллером домена.
Эта система разработана на базе Linux. Я использую libkrb5 компании Heimdal и проприетарный клиент SMB (у меня есть возможность изменять обе библиотеки)

Обновление: даже если я пропускаю подключение к общему ресурсу IPC $ и подключаюсь к требуемому общему ресурсу напрямую, поведение остается таким же. Контроллер домена вернет STATUS_ACCESS_DENIED в запрос на подключение к дереву.

Windows DC по умолчанию требует Подписание сообщений SMB. Об этом сообщает DC в безопасный режим часть Ответ протокола согласования.

Рассматриваемый (проприетарный) клиент SMB игнорировал этот флаг безопасности при использовании Kerberos и выполнении неподписанных Запросы на подключение дерева. Это привело к тому, что сервер (DC) отказал в доступе к общему ресурсу.

После изменения клиента SMB и обеспечения его соблюдения Требуется подпись при использовании учетных данных Kerberos стало возможным подключение к общим ресурсам SMB DC.