wznutzer 35 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober (bearbeitet) Guten Morgen, es gibt kein Problem, aber verstehen würde ich es trotzdem gerne. Wenn man z. B. die User eines VPN der Firewall gegen das AD authentifizieren will, macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden. Dieser User benötigt aber keinerlei besondere Rechte. Gruppenmitgliedschaften auslesen gehört zu den Standardberechtigungen, die man ja auch einschränken kann. Aber wie funktioniert das mit den Passwörter? Klar kann jeder User versuchen sich irgendwo mit einem fremden Account anzumelden und Passwörter erraten, aber wie macht das z. B. regulär eine Firewall? Auch mit einem Loginversuch, wo? Die Firewall braucht kein Passwort aus dem AD auslesen, es reicht ja die Info richtig oder falsch? Wenn man weiß wie das funktioniert, könnte man da evtl. ableiten, dass irgendwas besser verboten gehört, was bisher erlaubt ist? Danke und Grüße bearbeitet 2. Oktober von wznutzer Schreibfehler Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober Gerade eben schrieb wznutzer: macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden. Nö, macht man eigentlich schon länger nicht mehr so. LDAP Abfragen oder RADIUS sind auch ohne Domainjoin jederzeit möglich (letzteres setzt natürlich einen RADIUS Server voraus). Der User braucht schon ein paar "besondere" Rechte. Vor allem falls Mitgliedschaften abgefragt werden sollen/müssen. Leider steckt bei vielen aber die Gruppe der Authentifizierten User in der Gruppe Prä-Windows 2000. ;) Und die darf viel zu viel lesen. Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober Spoiler: Das RD Gateway bzw. der NPS "dahinter", tuts nicht mehr, wenn du die Authentifizierten User aus der Prä-Windows 2000 Gruppe entfernst. ;) (Problem Remote Desktop Gateway mit RPC over HTTP - Windows Server Forum - MCSEboard.de) 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober Autor Melden Teilen Geschrieben 2. Oktober vor 15 Minuten schrieb NorbertFe: Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw. Ich kann z. B. schon jetzt aus Deiner Antwort „ableiten“, dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben . So hatte ich das auch mit dem Passwort im Sinn. Wie findet die Firewall heraus, ob das Passwort stimmt oder nicht? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober (bearbeitet) Indem ein LDAP Bind durchgeführt wird. Hier sieht man das ganz gut: https://connect2id.com/products/ldapauth/auth-explained Für Radius findest du es sicher auch irgendwo. vor 4 Minuten schrieb wznutzer: dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;) Ich mein, der Name der Gruppe sollte doch Indikator genug sein. vor 11 Minuten schrieb testperson: Spoiler: Das RD Gateway bzw. der NPS "dahinter", tuts nicht mehr, wenn du die Authentifizierten User aus der Prä-Windows 2000 Gruppe entfernst. ;) Dazu müssen aber nicht die Authentifizierten User in der Gruppe stecken, da tuts zur Not auch das RD Gateway oder der NPS. Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt. bearbeitet 2. Oktober von NorbertFe 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober Moin, das mit dem Domain Join des VPN-Konzentrators bzw. des RADIUS-Servers kann helfen, LDAP mit S nicht betreiben zu müssen, denn wenn Kerberos bereits zwischen Client (VPN-Konzentrator) und Server (Domain Controller) verwendet wird, kann auf LDAPS verzichtet werden. Aber nur, wenn es ordentlich gemacht wurde 1 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober vor 14 Minuten schrieb NorbertFe: Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt. Das reicht AFAIK nicht aus. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober vor 7 Minuten schrieb cj_berlin: Moin, das mit dem Domain Join des VPN-Konzentrators bzw. des RADIUS-Servers kann helfen, LDAP mit S nicht betreiben zu müssen, denn wenn Kerberos bereits zwischen Client (VPN-Konzentrator) und Server (Domain Controller) verwendet wird, kann auf LDAPS verzichtet werden. Aber nur, wenn es ordentlich gemacht wurde Hat aber den Nachteil, dass man dann mit der Kiste eben Mitglied des AD ist und somit ggf. auch dort neue Angriffspunkte schafft, die LDAPs oder Radius in der Form nicht haben. vor 2 Minuten schrieb testperson: Das reicht AFAIK nicht aus. Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober Autor Melden Teilen Geschrieben 2. Oktober (bearbeitet) vor 33 Minuten schrieb NorbertFe: Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;) Nein, die Erkenntnis hatte ich schon vor längerer Zeit. Deswegen ist das Computerkonto des RD-Gateway auch da drin. Jetzt muss ich aber noch rausfinden, warum die Abfrage der Gruppenmitgliedschaften geht, obwohl ich mich an keine spezielle Rechtevergabe erinnern kann. Danke für den Hinweis mit LDAP Bind. Das die Mitglieschaft der Authentifizierten User in der Prä-Windows 2000 Gruppe ein größeres Sicherheitsproblem ist, war mir tatsächlich nicht bewusst, war eher „braucht man nicht mehr“. bearbeitet 2. Oktober von wznutzer Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober vor 9 Minuten schrieb NorbertFe: Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein. Habe es gerade getestet und es reicht nicht. Die "Mühe" mit dem Logging wollte ich mir irgendwann mal machen. Aber irgendwie nutzen dann doch zu wenige Kunden das RDGW. :) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes). Gerade eben schrieb testperson: Aber irgendwie nutzen dann doch zu wenige Kunden das RDGW. :) Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober vor 2 Minuten schrieb NorbertFe: Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;) Davon losgelöst habe ich da so ne Idee bzgl. Remote Access per Netscaler Unified Gateway und dem RDP Proxy. ;) Und "Plan B" bzw. eine Alternative wäre im Moment halt "Microsoft Entra Private Access". Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober Autor Melden Teilen Geschrieben 2. Oktober vor 11 Minuten schrieb NorbertFe: Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes). In meinen Fall ist der User nicht Mitglied, geht aber trotzdem. Das meinte ich damit. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober Melden Teilen Geschrieben 2. Oktober Welcher User? Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober Autor Melden Teilen Geschrieben 2. Oktober Gerade eben schrieb NorbertFe: Welcher User? Der User in der Firewall der verwendet wird um die Passwörter zu checken (LDAP Bind wie ich gelernt habe) und mit dem auch die Gruppen ausgelesen werden (z. B. darf VPN). Vermutlich wurde doch mal ein Recht vergeben und leider vergessen / nicht dokumentiert. vor 38 Minuten schrieb cj_berlin: LDAP mit S nicht betreiben zu müssen Verstehe ich das richtig? Nicht zu müssen heißt aber zu können. Aber dann geht das Passwort beim LDAP Bind unverschlüsselt über die Leitung und das will man nicht. Richtig? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.