Jump to content

Fileserver Authentifizierung


Empfohlene Beiträge

Moin Zusammen,

 

vielleicht sitzt bei dem schönen Wetter doch noch jemand am Rechner und kann mir eine Wissensfrage beantworten:

 

Wie authentifiziert sich ein Beutzer an einem LAN-Fileserver?  (mit Kerberos?)

 

Erläuterung:

Ich habe vor Jahren einen rechtebassierten Fileserver aufgebaut und die Recht mittels Gruppenzugehörigkeiten vergeben. 

Nehmen wir an, ein Benutzer ist an seinem Rechner angemeldet und bleibt das auch. Ich deaktiviere jetzt sein AD Konto und stelle fest, daß der Zugriff auf den Fileserver nach wie vor erfolgen kann.

Würde sich das evtl. nach Ablauf eines Tickets, Token etc, nach einiger Zeit ändern?

 

Bei der Frage bitte außer Acht lassen, daß sich der Benutzer nicht mehr an seinem Konto anmelden könnte, wenn er einmal abgemeldet wird.

Es gehr hier rein um die Authentifizierung und den Ablauf der Berechtigung und ist eher theoretischer Natur.

 

Ich danke allen Schattenliebhabern :-)

Link zu diesem Kommentar

...wobei seit Server 2016 die Vergabe von SPNs an IP-Adressen möglich ist und respektiert wird, sofern es sich bei dem Ziel nicht um einen Domain Controller handelt. Das ist aber häßlich und sollte nicht verwendet werden. Ich kann nur ahnen, was Microsoft dazu veranlasst haben könnte, solch einen kruden Scheiß zu implementieren.

bearbeitet von cj_berlin
Link zu diesem Kommentar

Moin, 

 

Gut, aber ich habe das Gefühl, dass der TO eigentlich gar nicht das Protokoll wissen will, sondern es eher darum geht, warum der User weiter zugreifen kann. @Oli72, vermute ich da richtig?

 

Und die Antwort auf die Frage wäre (so vermute ich zumindest) tatsächlich die Gültigkeit seines Tickets bzw. Access Tokens. Durch das Deaktivieren des Kontos verhinderst du nur, dass der User sich neu anmeldet, eine bestehende Anmeldung ist nicht davon betroffen. Wenn es schnell gehen muss, musst du mit zusätzlichen Maßnahmen laufende Sessions beenden und/oder den Zugriff auf kritische Ressourcen ausdrücklich verweigern.

 

Gruß Nils

Link zu diesem Kommentar

Hallo NilksK

Hallo cj_berlin,

 

vielen Dank schon mal.

Aaalsoo, Der Zugriff erfolgt, durch ein gemountetes Netzlaufwerk auf den Clients (Netzklaufwerk verbinden). Dazu gebe ich den Serverpfad der Freigabe an. Das ganze passiert aber über ein GPO.

Damit nehme ich an, daß nach Aussage von Nils NTML verwendet wird.

Wenn dem so wäre, läuft die NTML Authentifizierung bzw, evtl. das Tocken nach einiger Zeit auch ab?

 

Der Hintergrund der Frage ist kein aktuer Fall sondern einfach nur zum  Verstehen was im Hintergrund passiert. Ich hab immer so mein Problem mit Kollegenaussagen wie "ist halt so" :-( 

 

Wenn es also nicht wie von Dir gefragt "schnell" gehen muß, würde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe,  egal ob die Authentifizierung über Kerberos oder NTML läuft.

Sehe ich das so richtig?

 

Ich danke für eure Zeit

Finde das großartig was Ihr hier macht.

Link zu diesem Kommentar
vor 37 Minuten schrieb Oli72:

würde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe,  egal ob die Authentifizierung über Kerberos oder NTML läuft.

 

Wenn ich es richtig verstehe, ist Deine Frage eher diese hier: "Hat der für den User erstellte Token mit der Information, dass er auf die Freigabe zugriefen darf, einen Zeitstempel, aber dem er nicht mehr gültig ist?"

Link zu diesem Kommentar

Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket für den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM.

 

Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets".

 

PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe :-)

  • Like 1
  • Danke 2
Link zu diesem Kommentar
vor 18 Minuten schrieb daabm:

Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket für den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM.

 

Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets".

 

PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe :-)

Ich find das so sc*** kompliziert 😂 aber Du hast es deutlich besser erklärt als damals im Kurs beschrieben wurde… 

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...