Jump to content

Kerberos Fehler wenn Client im VPN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Jo, der ist glaub klar: Gibt kein User "test" in der Dom dev.domain.de.

 

Also dürfte es mit gleichlautenden Usern dann so sein, dass die sich mit TMG\User an die Dom wenden. In dem Trace steht dann zwar drin dass es der User soundso ist, es steht aber nicht drin dass es der TMG\User-soundso ist. Ist ja nur "cname" ersichtlich.

 

Und damit hat die Dom recht wenn sie sagt: Hö? TMG\User? Geh weg!

 

Edit:

 

Alle Verbindungen aus dem VPN raus laufen also unter dem TMG\User.

bearbeitet von Reingucker
Link zu diesem Kommentar

Ja das ist wirklich doof, zumal ich nicht damit gerechnet hätte, dass die VPN Authentifizierung als "Angemeldete Sitzung" gehandelt wird.

 

Aufgefallen ist mir dass, als ich zum test (bei einem anderem Hintergrund) in dem Windows Anmeldeschirm eine VPN Anmeldung durchführen wollte. Hier werden die Anmeldedaten für das VPN sowie für Windows verwendet.

 

 

Was kann ich nun tun, mir ist grad noch nicht klar, wie ich das Problem bzw. ob ich das Problem umgehen kann?!

Link zu diesem Kommentar

Soweit ich es noch im Kopf habe was ich heute Mittag gelesen habe gibt es verschiedene Szenarios:

 

1. Dein TMG so wie er ist plus ein zweiter TMG der hintendran und in der Dom ist und damit den aus dem vpn kommenden User an der Dom anmelden lassen kann fürs interne Netz.

 

2. Dein TMG in die Dom rein und die vpn-anmeldung an die Dom durchreichen womit der User im vpn dann als Dom-User authentifiziert und authorisiert wäre (nennt sich glaube Edge-TMG oder so)

 

Und noch ne dritte Variante die mir aber grad nicht mehr einfällt. Ich such nochmal wo die Seite war.

Link zu diesem Kommentar

Du meinst die TMG mit dem RAS Dienst und die VPN Benutzer im AD pflegen?

 

Edit: ahh zu langsam ... :)

 

Ich meine das die TMG auch gegen RADIUS die VPN Benutzer authentifizieren kann. Gegeben falls wäre das eine Lösung noch für uns, einen NPS mit Radius Clients ist im internen Netz bereits im Einsatz.

bearbeitet von Beetlejuice
Link zu diesem Kommentar

Ja, Radius wäre auch ne Möglichkeit. Vom Gefühl her würde ich sagen klingt gut. Und so wie daabm schreibt den NPS gleich auch mit NAP.

 

 

Edit:

 

Aber muss der TMG dann nicht auch Radiusclient und im AD sein? 

 

Edit2:

 

Ah,ne, passt so

 

 

 

If you decide that Forefront TMG shouldn’t be a member of an Active Directory domain and you want to create Firewall rules based on Active Directory group membership, the only option you have is to use LDAP or RADIUS. With the help of LDAP or RADIUS, Forefront TMG 2010 can be used to authenticate users against Active Directory. 
bearbeitet von Reingucker
Link zu diesem Kommentar

Ich stell mir dass so vor dass man da, wo man sich anmeldet, als User existiert. Wobei der Ort, an dem der Anmeldevorgang, das Eintippen der Credentials, statt findet, völlig egal ist. Melde ich mich im AD an, bin ich im AD. Melde ich mich lokal an, bin ich lokal. Und melde ich mich über VPN an einem VPN-Server an, bin ich auf dem VPN-Server. Ist irgendwie immer noch wie damals. Die Logon-User von heute sind die modernere Version der "dumb Terminals" von damals.

Link zu diesem Kommentar

Ist es nicht das Gleiche wie wenn man sich am AD anmeldet, aber dann unter einem anderen Namen auf eine Freigabe zugreift?

 

 

Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen.
 

 

Hm, ja, interessant. Vielleicht steht da "Jeder" drin oder es ist wegen den gleichlautenden Namen, den "Cname". Was dann allerdings eine heftige Sicherheitslücke wäre.

 

Vielleicht checked Kerberos erst nicht ob der User in der eigenen Domäne ist, sondern nur auf den Namen. Und wenns den Namen gibt, dann wird nachgeprüft ob es auch die richtige Domäne ist. Und wenns den Namen nicht gibt, dann wird auch erst dann geprüft welche Domäne es ist - könnte ja noch eine Vertrauensstellung sein.

 

Und beim Serviceticket/AccessToken zählt nur ob Kerberos den Namen bestätigen kann? Neee, das wäre doch zu heftig.

 

Dann steht hoffentlich doch "Jeder" drin :rolleyes:  


Edit2:

 

Tja, ich brauch einen Rechner in einer Arbeitsgruppe, etwas social engineering um einen gültigen Anmeldenamen zu bekommen, ein Programm das Passwörter generiert und Zugang Zum LAN. Und der Acc dürfte noch nicht mal gesperrt werden im AD weil ich es ja gegen Freigaben probieren würde.

 

Kann doch nicht wahr sein! Oder überseh ich hier was?

 

Edit2:

 

Puuhh, es geht nicht. 

 

@Beetlejuice

 

Client: hans.wurst @ DEV.DOMAIN.DE

 

 

Damit warst du auf dem VPN-Client an der Dom angemeldet. Müsste man noch wissen wie genau dein Versuchsaufbau/Netz ect. aussah.

 

Edit last:

 

Jo, TGT. Aber das würde ja heißen dass nur noch der Client und der KDC über das VPN kommunizieren, ja der Client selbstständig auch den UPN der vorhergehenden Dom-Anmeldung schicken würde, und der VPN-User selbst für die TGS egal wäre - Hauptsache VPN-Verbindung steht und auf dem VPN-Client wurde sich vorher an der Dom angemeldet. Aber dann verstehe ich die Fehlermeldung beim Zugriff aufs Netlogon nicht. Ich muss ein VPN aufbauen zum testen...

bearbeitet von Reingucker
Link zu diesem Kommentar

Du hast EINE Identität. Wer Du bist, entscheidet die Anmeldeinstanz, die diese Identität bestätigt. Fertich... Wenn das der TMG macht, dann bist Du halt Standalone-User. Wenn es ein DC macht (und Dir dann noch freundlicherweise ein TGT ausstellt), dann bist Du Domänenbenutzer. Der TMG muß in die Domäne, dann hat die liebe Seel' eine Ruhe :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...