hier: Schattenwirtschaft | heise online
steht dass im neuen Kernel 6.6 die Unterstützung von DES bzw. 3DES als Verschlüsselungsverfahren rausfliegt. Und das bei der Kerberos-Unterstützung relevant sei.
Könnt ihr bestätigen, dass das bei unseren jetzigen System schon nicht mehr verwendet wird? Oder ist das irrelevant, weil es nur um zeitlich begrenzte Tickets geht, die - wenn es soweit ist - von 3DES auf AES umgestellt werden, ohne dass Probleme zu erwarten sind?
Die Linuxclients könnten ja viel schneller bei einem 6.6er Kernel landen, auch wenn der Kerberos-Server noch nicht so weit wäre.
Ich wollte nur melden, dass ich es gelesen und „kurz“ letzte Woche getestet habe. Wenn Server und Client verschlüsselt zusammen kommunizieren müssen, müssen die beide sich erst mal abstimmen, welche Verschlüsselung nehmen, deswegen müssen die beide eine Liste von unterstützenden Verfahren anbieten und ein Auswahl treffen. Da weiss du schon bestimmt, beschriebe ich hier nur für die, die es nicht wissen.
Ich kann mich nicht vorstellen, dass es bei Kerberos anders ist.
Das kann man einfach mit ktutil überprüfen (hier auf dem Server):
mit keine Sorgen machen ist so eine Sache. Oftmals wartet man dann damit auf den Zeitpunkt wo es knallt, weil plötzlich kein gemeinsames Verfahren mehr gefunden werden kann.
Es empfiehlt sich zumindest mal die Liste unterstützter Verfahren von Samba 4 mit denen von Windows 10 und 11 sowie der Kerberos-Implementierung im Linux-Client/Server abzugleichen und idealerweise die sicherste Variante per Konfiguration zu präferieren.
DES ist schon seit Jahren als unsicher eingestuft und aus vielen Produkten rausgeworfen worden. Unter AES128 sollte da nichts mehr genutzt werden und idealerweise auch nicht mehr angeboten werden. Ja, das schafft vielleicht Inkompatibilitäten mit sehr alten Betriebssystemen, aber AES-Unterstützung ist ab Windows 7 (Release 2009) aufwärts enthalten. Das sind 15 Jahre, in der Computer-Welt also kurz vor „prähistorisch“.
danke für den Beitrag und die Zeit.
Ich halte es nicht für falsch, wie @Buster sagt, eine Verschlüsselungsmethode (und falls relevant ein Hash-verfahren, sofern das extra konfigurabel ist) zu präferieren und sogar DES einfach schon serverseitig rauszuschmeißen.
Ob man das jetzt mit Update erzwingt, oder dokumentiert und nur starke Empfehlung ausspricht, ist mir egal. Aber eines von beiden könnten die Entwickler ja mal überdenken.
Sowohl für SAMBA4 (LDAPs/Kerberos) als auch für die WebUI
Also dir ist das Folgende auch klar. Aber hier gerne auch für alle: Rechner, die im Netz mit dem Port offen stehen sind zwar klar mehr gefährdet und hier sollte man dementsprechend gut abwägen zwischen Komfort (alter browser macht das noch) und Sicherheit. Nach „zero-trust security model“ gilt das meiner Meinung nach aber auch für Dienste, die nicht im Netz offen stehen.
Wenn das stimmt, was ktutil bei dir ausgibt und was ich hier lese: Samba Security Documentation - SambaWiki dann wäre DES explizit aktiviert worden, weil es eigentlich sogar „disabled by default“ laut Doku sein soll.