loisyn 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Hallo an alle, diesmal habe ich ein sehr spezielles Problem auf einem DC: Unter W2K läuft ein Dienst, angemeldet als User ABC, welcher den Kerberos Ticket Cache ausliest, das Ticket für den ABC-User nimmt und damit auf das AD zugreifen kann. Unter W2K3 schlägt das Auslesen des Tickets fehl. Was hat sich hier geändert? Der ABC-User ist in der Administratoren und der Domänen-Administratoren. Er hat die Rechte "Log on as a Service, Log on as a Batch Job, Act as Part of Operating System" Das Auslesen des Tickets läuft unter Java. Bin um jeden Hinweis dankbar Loisyn Zitieren Link zu diesem Kommentar
Lian 2.482 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Hallo Loisyn, darf man fragen wieso der Weg über den Kerberos Ticket Cache geht? Die Java App. könnte sich auch per LDAP am AD authentisieren. Geht die Applikation über die Kerberos 4 oder 5 API? Ist die Applikation von Euch bzw. habt Ihr Zugriff auf die Sourcen? Zitieren Link zu diesem Kommentar
loisyn 10 Geschrieben 16. Juni 2004 Autor Melden Teilen Geschrieben 16. Juni 2004 Kerberos V5, und, ja, die Anwendung ist von uns. Wie gesagt: Das Problem tauchte jetzt erst auf, als wir das Produkt auf W2K3 installieren wollten. Eine LDAP-Bind Authentifizierung ist nicht erlaubt, da sonst Username und Passwort irgendwo hart gecodet werden müssten. Das muss vermieden werden. Unter W2K läufts, da kann man aus dem Ticket Cache das Ticket auslesen und verwenden, unter W2K3 gehts nicht! So long Loisyn Zitieren Link zu diesem Kommentar
Lian 2.482 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Es würde eine Authentisierung eines Users reichen, der Leserechte auf das AD hat, dieser user muss sonst keine rechte haben... je nachdem was die App. machen soll. Kann aber verstehen, wenn Ihr bei Eurer Kerberoslösung bleiben wollt - kein Thema. Hast Du Dich hier schon umgesehen? Kerberos Authentication in Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx Speziell: What's New in Windows Server 2003 Kerberos Authentication http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/kerberos.mspx Evtl. findest Du auch hier Infos, Labmice ist immer eine gute Anlaufstelle :wink2: http://labmice.techtarget.com/security/kerberos.htm Dort ist zwar noch nichts speziell zu 2003, aber evtl. liefert der ein oder andere der aufgeführten links infos... Zitieren Link zu diesem Kommentar
rioriorio 10 Geschrieben 7. Dezember 2004 Melden Teilen Geschrieben 7. Dezember 2004 hallo, dies toent wie ein bekannter bug in der java vm <1.5 das auslesen des tickets cache funktioniert nur unter windows 2000 korrekt. als workaround kann der java vm der umgebungsparameter -Dos.name="Windows 2000" uerbergeben werden koennen. dies taeuscht der vm vor w2k zu sein und der ticket cache kann ausgelesen werden. alternativ kann natuerlich auch java 1.5 verwendet werden hth, alex Zitieren Link zu diesem Kommentar
Lian 2.482 Geschrieben 7. Dezember 2004 Melden Teilen Geschrieben 7. Dezember 2004 Danke für den Hinweis. Besser spät als nie :D Ich hoffe loisyn konnte es inzwischen lösen - denn der thread ist von Mitte Juni. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.