Отказано в доступе к общему ресурсу IPC $ на контроллере домена Windows, когда сеанс SMB настроен с использованием Kerberos 5
Я пишу систему, которая выполняет вход пользователя и обеспечивает доступ с единой авторизацией к общим ресурсам SMB в сети.
Пользователь вход осуществляется с помощью Kerberos 5 для проверки личности пользователя и получения билета TGT. При доступе к общему ресурсу SMB билет TGT используется для получения билета TGS для сервера, на котором размещен общий ресурс, и настройка сеанса выполняется с этим TGS (с помощью этого достижения SSO).
Все работает нормально, пока пользователь не попытается для доступа к общему ресурсу SMB на контроллере домена. В этом случае DC вернет STATUS_ACCESS_DENIED в запрос на подключение к дереву, как показано в приведенной ниже ссылке.
Пользователь является членом группы администраторов домена. Таким образом, он должен иметь доступ к общему ресурсу IPC $
. Интересно то, что если вместо выполнения установки сеанса с помощью TGS, я выполняю ее с помощью NTLMSSP (используя те же учетные данные пользователя), DC разрешает подключение к общему ресурсу.
Почему разные разрешения назначаются сеансу SMB в зависимости от выполненной аутентификации (NTLMSSP против Kerberos 5)?
Это пахнет конфигурацией GPO / GPP, но мои знания об этом очень ограничены .
Требуются ли дальнейшие шаги в настройке сеанса для контроллера домена при использовании Kerberos 5? Или можно с уверенностью предположить, что я делаю это правильно, если сервер возвращает STATUS_SUCCESS?
Несколько примечаний:
- Клиент SMB всегда пытается подключиться к общему ресурсу IPC $ для выполнения некоторых операций IOCTL перед подключением к требуемому общему ресурсу .
- Я проверил, что дата и время моей системы синхронизированы с контроллером домена
- Эта система разработана на Linux ,. Я использую библиотеку heimdal libkrb5 и проприетарный клиент SMB (у меня есть возможность изменять обе библиотеки)
Обновление: даже если я пропускаю подключение к общему ресурсу IPC $ и подключаюсь к требуемому общему ресурсу напрямую, поведение остается одинаковым. Контроллер домена вернет STATUS_ACCESS_DENIED в запрос на подключение к дереву.
Windows DC по умолчанию требует подписи сообщения SMB. Контроллер домена объявляет об этом в разделе Security Mode Negotiate Protocol Response .
Рассматриваемый (собственный) SMB-клиент игнорировал этот флаг безопасности при использовании Kerberos и выполнении неподписанных Запросы на подключение к дереву . Это привело к тому, что сервер (DC) отказал в доступе к общему ресурсу.
После изменения SMB-клиента и обеспечения его соблюдения флага Требуется подпись при использовании учетных данных Kerberos стало возможным подключение к общим ресурсам SMB DC. .