Zum Inhalt wechseln


Foto

Kerberos Fehler wenn Client im VPN

Active Directory ISA / TMG / UAG Windows 7

  • Bitte melde dich an um zu Antworten
69 Antworten in diesem Thema

#16 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 03. Februar 2015 - 14:45

Jo, der ist glaub klar: Gibt kein User "test" in der Dom dev.domain.de.

 

Also dürfte es mit gleichlautenden Usern dann so sein, dass die sich mit TMG\User an die Dom wenden. In dem Trace steht dann zwar drin dass es der User soundso ist, es steht aber nicht drin dass es der TMG\User-soundso ist. Ist ja nur "cname" ersichtlich.

 

Und damit hat die Dom recht wenn sie sagt: Hö? TMG\User? Geh weg!

 

Edit:

 

Alle Verbindungen aus dem VPN raus laufen also unter dem TMG\User.


Bearbeitet von Reingucker, 03. Februar 2015 - 14:47.


#17 daabm

daabm

    Expert Member

  • 2.110 Beiträge

 

Geschrieben 03. Februar 2015 - 18:42

Das alte Dilemma multipler Authentifizierung: "Wer bin ich?" :D


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#18 Beetlejuice

Beetlejuice

    Member

  • 192 Beiträge

 

Geschrieben 03. Februar 2015 - 18:50

Ja das ist wirklich doof, zumal ich nicht damit gerechnet hätte, dass die VPN Authentifizierung als "Angemeldete Sitzung" gehandelt wird.

 

Aufgefallen ist mir dass, als ich zum test (bei einem anderem Hintergrund) in dem Windows Anmeldeschirm eine VPN Anmeldung durchführen wollte. Hier werden die Anmeldedaten für das VPN sowie für Windows verwendet.

 

 

Was kann ich nun tun, mir ist grad noch nicht klar, wie ich das Problem bzw. ob ich das Problem umgehen kann?!


-----------------------------
Bunt ist das Leben und
Granatenstark !!! :cool:
-----------------------------

#19 daabm

daabm

    Expert Member

  • 2.110 Beiträge

 

Geschrieben 03. Februar 2015 - 18:56

Den NPS in die Domäne nehmen...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#20 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 03. Februar 2015 - 18:58

Soweit ich es noch im Kopf habe was ich heute Mittag gelesen habe gibt es verschiedene Szenarios:

 

1. Dein TMG so wie er ist plus ein zweiter TMG der hintendran und in der Dom ist und damit den aus dem vpn kommenden User an der Dom anmelden lassen kann fürs interne Netz.

 

2. Dein TMG in die Dom rein und die vpn-anmeldung an die Dom durchreichen womit der User im vpn dann als Dom-User authentifiziert und authorisiert wäre (nennt sich glaube Edge-TMG oder so)

 

Und noch ne dritte Variante die mir aber grad nicht mehr einfällt. Ich such nochmal wo die Seite war.



#21 Beetlejuice

Beetlejuice

    Member

  • 192 Beiträge

 

Geschrieben 03. Februar 2015 - 19:01

Du meinst die TMG mit dem RAS Dienst und die VPN Benutzer im AD pflegen?

 

Edit: ahh zu langsam ... :)

 

Ich meine das die TMG auch gegen RADIUS die VPN Benutzer authentifizieren kann. Gegeben falls wäre das eine Lösung noch für uns, einen NPS mit Radius Clients ist im internen Netz bereits im Einsatz.


Bearbeitet von Beetlejuice, 03. Februar 2015 - 19:04.

-----------------------------
Bunt ist das Leben und
Granatenstark !!! :cool:
-----------------------------

#22 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 03. Februar 2015 - 19:17

Ja, Radius wäre auch ne Möglichkeit. Vom Gefühl her würde ich sagen klingt gut. Und so wie daabm schreibt den NPS gleich auch mit NAP.

 

 

Edit:

 

Aber muss der TMG dann nicht auch Radiusclient und im AD sein? 

 

Edit2:

 

Ah,ne, passt so

 

 

 

If you decide that Forefront TMG shouldn’t be a member of an Active Directory domain and you want to create Firewall rules based on Active Directory group membership, the only option you have is to use LDAP or RADIUS. With the help of LDAP or RADIUS, Forefront TMG 2010 can be used to authenticate users against Active Directory. 
http://www.isaserver...entication.html 

Bearbeitet von Reingucker, 03. Februar 2015 - 19:38.


#23 Beetlejuice

Beetlejuice

    Member

  • 192 Beiträge

 

Geschrieben 03. Februar 2015 - 19:41

http://www.isaserver...access-NAP.html


-----------------------------
Bunt ist das Leben und
Granatenstark !!! :cool:
-----------------------------

#24 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 03. Februar 2015 - 20:15

Ah, das ist natürlich die supercoole all in one Anleitung  :jau:



#25 Beetlejuice

Beetlejuice

    Member

  • 192 Beiträge

 

Geschrieben 04. Februar 2015 - 15:24

Kennt Ihr ein Dokument aus Technet oder so oder generell von Microsoft, was dieses Verhalten beschreibt.

 

Also das eine VPN-Verbindung als Windows Benutzeranmeldung gilt/zählt?


-----------------------------
Bunt ist das Leben und
Granatenstark !!! :cool:
-----------------------------

#26 daabm

daabm

    Expert Member

  • 2.110 Beiträge

 

Geschrieben 04. Februar 2015 - 18:36

Ich weiß, daß das "früher" im rasphone.pbk auch schon so war:

 

Da gab es einen Parameter "useRasCredentials"; wenn der nicht explizit auf 0 gesetzt wurde, war der User mit der RAS-Anmeldung in der Domäne unterwegs...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#27 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 04. Februar 2015 - 19:09

Ich stell mir dass so vor dass man da, wo man sich anmeldet, als User existiert. Wobei der Ort, an dem der Anmeldevorgang, das Eintippen der Credentials, statt findet, völlig egal ist. Melde ich mich im AD an, bin ich im AD. Melde ich mich lokal an, bin ich lokal. Und melde ich mich über VPN an einem VPN-Server an, bin ich auf dem VPN-Server. Ist irgendwie immer noch wie damals. Die Logon-User von heute sind die modernere Version der "dumb Terminals" von damals.



#28 Beetlejuice

Beetlejuice

    Member

  • 192 Beiträge

 

Geschrieben 04. Februar 2015 - 19:45

Wie soll dann Windows beide credentials (ad und vpn) handhaben?


Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen.

Wie will Windows das handhaben, ich meine mich erinnern zu können, dass nur einen Satz an angemeldete Daten gibt.
-----------------------------
Bunt ist das Leben und
Granatenstark !!! :cool:
-----------------------------

#29 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 04. Februar 2015 - 20:18

Ist es nicht das Gleiche wie wenn man sich am AD anmeldet, aber dann unter einem anderen Namen auf eine Freigabe zugreift?

 

 

Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen.
 

 

Hm, ja, interessant. Vielleicht steht da "Jeder" drin oder es ist wegen den gleichlautenden Namen, den "Cname". Was dann allerdings eine heftige Sicherheitslücke wäre.

 

Vielleicht checked Kerberos erst nicht ob der User in der eigenen Domäne ist, sondern nur auf den Namen. Und wenns den Namen gibt, dann wird nachgeprüft ob es auch die richtige Domäne ist. Und wenns den Namen nicht gibt, dann wird auch erst dann geprüft welche Domäne es ist - könnte ja noch eine Vertrauensstellung sein.

 

Und beim Serviceticket/AccessToken zählt nur ob Kerberos den Namen bestätigen kann? Neee, das wäre doch zu heftig.

 

Dann steht hoffentlich doch "Jeder" drin :rolleyes:  


Edit2:

 

Tja, ich brauch einen Rechner in einer Arbeitsgruppe, etwas social engineering um einen gültigen Anmeldenamen zu bekommen, ein Programm das Passwörter generiert und Zugang Zum LAN. Und der Acc dürfte noch nicht mal gesperrt werden im AD weil ich es ja gegen Freigaben probieren würde.

 

Kann doch nicht wahr sein! Oder überseh ich hier was?

 

Edit2:

 

Puuhh, es geht nicht. 

 

@Beetlejuice

 

Client: hans.wurst @ DEV.DOMAIN.DE

 

 

Damit warst du auf dem VPN-Client an der Dom angemeldet. Müsste man noch wissen wie genau dein Versuchsaufbau/Netz ect. aussah.

 

Edit last:

 

Jo, TGT. Aber das würde ja heißen dass nur noch der Client und der KDC über das VPN kommunizieren, ja der Client selbstständig auch den UPN der vorhergehenden Dom-Anmeldung schicken würde, und der VPN-User selbst für die TGS egal wäre - Hauptsache VPN-Verbindung steht und auf dem VPN-Client wurde sich vorher an der Dom angemeldet. Aber dann verstehe ich die Fehlermeldung beim Zugriff aufs Netlogon nicht. Ich muss ein VPN aufbauen zum testen...


Bearbeitet von Reingucker, 04. Februar 2015 - 22:23.


#30 daabm

daabm

    Expert Member

  • 2.110 Beiträge

 

Geschrieben 04. Februar 2015 - 21:58

Du hast EINE Identität. Wer Du bist, entscheidet die Anmeldeinstanz, die diese Identität bestätigt. Fertich... Wenn das der TMG macht, dann bist Du halt Standalone-User. Wenn es ein DC macht (und Dir dann noch freundlicherweise ein TGT ausstellt), dann bist Du Domänenbenutzer. Der TMG muß in die Domäne, dann hat die liebe Seel' eine Ruhe :D


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory, ISA / TMG / UAG, Windows 7