Oli72 1 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli Moin Zusammen, vielleicht sitzt bei dem schönen Wetter doch noch jemand am Rechner und kann mir eine Wissensfrage beantworten: Wie authentifiziert sich ein Beutzer an einem LAN-Fileserver? (mit Kerberos?) Erläuterung: Ich habe vor Jahren einen rechtebassierten Fileserver aufgebaut und die Recht mittels Gruppenzugehörigkeiten vergeben. Nehmen wir an, ein Benutzer ist an seinem Rechner angemeldet und bleibt das auch. Ich deaktiviere jetzt sein AD Konto und stelle fest, daß der Zugriff auf den Fileserver nach wie vor erfolgen kann. Würde sich das evtl. nach Ablauf eines Tickets, Token etc, nach einiger Zeit ändern? Bei der Frage bitte außer Acht lassen, daß sich der Benutzer nicht mehr an seinem Konto anmelden könnte, wenn er einmal abgemeldet wird. Es gehr hier rein um die Authentifizierung und den Ablauf der Berechtigung und ist eher theoretischer Natur. Ich danke allen Schattenliebhabern Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli vor 58 Minuten schrieb Oli72: Wie authentifiziert sich ein Beutzer an einem LAN-Fileserver? (mit Kerberos?) Kommt darauf an. Per Kerberos nur, wenn du nicht per alias (ohne spn) oder ip Adresse zugreifst. In diesen Fällen ist es immer ntlm. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli (bearbeitet) ...wobei seit Server 2016 die Vergabe von SPNs an IP-Adressen möglich ist und respektiert wird, sofern es sich bei dem Ziel nicht um einen Domain Controller handelt. Das ist aber häßlich und sollte nicht verwendet werden. Ich kann nur ahnen, was Microsoft dazu veranlasst haben könnte, solch einen kruden Scheiß zu implementieren. bearbeitet 14. Juli von cj_berlin 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli (bearbeitet) Ok, ich sollte vorsichtiger mit diesen absoluten Aussagen sein 😁 wobei derjenige der nen Spn auf eine ip konfiguriert diese Frage nicht gestellt hätte. ;) bearbeitet 14. Juli von NorbertFe 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli vor einer Stunde schrieb Oli72: Würde sich das evtl. nach Ablauf eines Tickets, Token etc, nach einiger Zeit ändern? Ja. Merke gerade: Das Forum akzeptiert "Scheiß" als zulässiges Wort "b***d" und "doof" werden sonst immer gesternchent. 3 Zitieren Link zu diesem Kommentar
NilsK 2.954 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli Moin, Gut, aber ich habe das Gefühl, dass der TO eigentlich gar nicht das Protokoll wissen will, sondern es eher darum geht, warum der User weiter zugreifen kann. @Oli72, vermute ich da richtig? Und die Antwort auf die Frage wäre (so vermute ich zumindest) tatsächlich die Gültigkeit seines Tickets bzw. Access Tokens. Durch das Deaktivieren des Kontos verhinderst du nur, dass der User sich neu anmeldet, eine bestehende Anmeldung ist nicht davon betroffen. Wenn es schnell gehen muss, musst du mit zusätzlichen Maßnahmen laufende Sessions beenden und/oder den Zugriff auf kritische Ressourcen ausdrücklich verweigern. Gruß Nils 1 Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 14. Juli Autor Melden Teilen Geschrieben 14. Juli Hallo NilksK Hallo cj_berlin, vielen Dank schon mal. Aaalsoo, Der Zugriff erfolgt, durch ein gemountetes Netzlaufwerk auf den Clients (Netzklaufwerk verbinden). Dazu gebe ich den Serverpfad der Freigabe an. Das ganze passiert aber über ein GPO. Damit nehme ich an, daß nach Aussage von Nils NTML verwendet wird. Wenn dem so wäre, läuft die NTML Authentifizierung bzw, evtl. das Tocken nach einiger Zeit auch ab? Der Hintergrund der Frage ist kein aktuer Fall sondern einfach nur zum Verstehen was im Hintergrund passiert. Ich hab immer so mein Problem mit Kollegenaussagen wie "ist halt so" :-( Wenn es also nicht wie von Dir gefragt "schnell" gehen muß, würde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe, egal ob die Authentifizierung über Kerberos oder NTML läuft. Sehe ich das so richtig? Ich danke für eure Zeit Finde das großartig was Ihr hier macht. Zitieren Link zu diesem Kommentar
NilsK 2.954 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli Moin, Ja, unabhängig vom Protokoll ist das Sperren des Accounts immer nur auf die Zukunft gerichtet und keine sofort wirksame Maßnahme. Solange es nicht um einen Angriff geht, reicht das normalerweise aus. Gruß, Nils Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli vor 37 Minuten schrieb Oli72: würde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe, egal ob die Authentifizierung über Kerberos oder NTML läuft. Wenn ich es richtig verstehe, ist Deine Frage eher diese hier: "Hat der für den User erstellte Token mit der Information, dass er auf die Freigabe zugriefen darf, einen Zeitstempel, aber dem er nicht mehr gültig ist?" Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 14. Juli Autor Melden Teilen Geschrieben 14. Juli vor 36 Minuten schrieb BOfH_666: Wenn ich es richtig verstehe, ist Deine Frage eher diese hier: "Hat der für den User erstellte Token mit der Information, dass er auf die Freigabe zugriefen darf, einen Zeitstempel, aber dem er nicht mehr gültig ist?" besser formuliert. Genau Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket für den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM. Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets". PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe 1 2 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli vor 18 Minuten schrieb daabm: Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket für den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM. Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets". PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe Ich find das so sc*** kompliziert 😂 aber Du hast es deutlich besser erklärt als damals im Kurs beschrieben wurde… 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 14. Juli Melden Teilen Geschrieben 14. Juli vor 2 Stunden schrieb daabm: PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe Ja, das ist so. Der maximale Renewal-Zeitraum (Default: 7 Tage) gilt aber dennoch ab der Erstasstellung. Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 15. Juli Autor Melden Teilen Geschrieben 15. Juli Danke euch auf jedem Fall. Zum Glück diskutieren hier auch die Profis. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.