Oli72 2 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 Moin Zusammen,  vielleicht sitzt bei dem schönen Wetter doch noch jemand am Rechner und kann mir eine Wissensfrage beantworten:  Wie authentifiziert sich ein Beutzer an einem LAN-Fileserver? (mit Kerberos?)  ErlĂ€uterung: Ich habe vor Jahren einen rechtebassierten Fileserver aufgebaut und die Recht mittels Gruppenzugehörigkeiten vergeben. Nehmen wir an, ein Benutzer ist an seinem Rechner angemeldet und bleibt das auch. Ich deaktiviere jetzt sein AD Konto und stelle fest, daĂ der Zugriff auf den Fileserver nach wie vor erfolgen kann. WĂŒrde sich das evtl. nach Ablauf eines Tickets, Token etc, nach einiger Zeit Ă€ndern?  Bei der Frage bitte auĂer Acht lassen, daĂ sich der Benutzer nicht mehr an seinem Konto anmelden könnte, wenn er einmal abgemeldet wird. Es gehr hier rein um die Authentifizierung und den Ablauf der Berechtigung und ist eher theoretischer Natur.  Ich danke allen Schattenliebhabern Zitieren
NorbertFe 2.199 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 vor 58 Minuten schrieb Oli72: Wie authentifiziert sich ein Beutzer an einem LAN-Fileserver? (mit Kerberos?) Kommt darauf an. Per Kerberos nur, wenn du nicht per alias (ohne spn) oder ip Adresse zugreifst. In diesen FÀllen ist es immer ntlm. Zitieren
cj_berlin 1.419 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 (bearbeitet) ...wobei seit Server 2016 die Vergabe von SPNs an IP-Adressen möglich ist und respektiert wird, sofern es sich bei dem Ziel nicht um einen Domain Controller handelt. Das ist aber hĂ€Ălich und sollte nicht verwendet werden. Ich kann nur ahnen, was Microsoft dazu veranlasst haben könnte, solch einen kruden ScheiĂ zu implementieren. bearbeitet 14. Juli 2024 von cj_berlin 1 Zitieren
NorbertFe 2.199 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 (bearbeitet) Ok, ich sollte vorsichtiger mit diesen absoluten Aussagen sein đ  wobei derjenige der nen Spn auf eine ip konfiguriert diese Frage nicht gestellt hĂ€tte. ;) bearbeitet 14. Juli 2024 von NorbertFe 1 Zitieren
cj_berlin 1.419 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 vor einer Stunde schrieb Oli72:  WĂŒrde sich das evtl. nach Ablauf eines Tickets, Token etc, nach einiger Zeit Ă€ndern? Ja. Merke gerade: Das Forum akzeptiert "ScheiĂ" als zulĂ€ssiges Wort  "b***d" und "doof" werden sonst immer gesternchent. 3 Zitieren
NilsK 3.009 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 Moin,  Gut, aber ich habe das GefĂŒhl, dass der TO eigentlich gar nicht das Protokoll wissen will, sondern es eher darum geht, warum der User weiter zugreifen kann. @Oli72, vermute ich da richtig?  Und die Antwort auf die Frage wĂ€re (so vermute ich zumindest) tatsĂ€chlich die GĂŒltigkeit seines Tickets bzw. Access Tokens. Durch das Deaktivieren des Kontos verhinderst du nur, dass der User sich neu anmeldet, eine bestehende Anmeldung ist nicht davon betroffen. Wenn es schnell gehen muss, musst du mit zusĂ€tzlichen MaĂnahmen laufende Sessions beenden und/oder den Zugriff auf kritische Ressourcen ausdrĂŒcklich verweigern.  GruĂ Nils 1 Zitieren
Oli72 2 Geschrieben 14. Juli 2024 Autor Melden Geschrieben 14. Juli 2024 Hallo NilksK Hallo cj_berlin,  vielen Dank schon mal. Aaalsoo, Der Zugriff erfolgt, durch ein gemountetes Netzlaufwerk auf den Clients (Netzklaufwerk verbinden). Dazu gebe ich den Serverpfad der Freigabe an. Das ganze passiert aber ĂŒber ein GPO. Damit nehme ich an, daĂ nach Aussage von Nils NTML verwendet wird. Wenn dem so wĂ€re, lĂ€uft die NTML Authentifizierung bzw, evtl. das Tocken nach einiger Zeit auch ab?  Der Hintergrund der Frage ist kein aktuer Fall sondern einfach nur zum Verstehen was im Hintergrund passiert. Ich hab immer so mein Problem mit Kollegenaussagen wie "ist halt so" :-(  Wenn es also nicht wie von Dir gefragt "schnell" gehen muĂ, wĂŒrde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe, egal ob die Authentifizierung ĂŒber Kerberos oder NTML lĂ€uft. Sehe ich das so richtig?  Ich danke fĂŒr eure Zeit Finde das groĂartig was Ihr hier macht. Zitieren
NilsK 3.009 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 Moin,  Ja, unabhĂ€ngig vom Protokoll ist das Sperren des Accounts immer nur auf die Zukunft gerichtet und keine sofort wirksame MaĂnahme. Solange es nicht um einen Angriff geht, reicht das normalerweise aus.  GruĂ, Nils Zitieren
BOfH_666 585 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 vor 37 Minuten schrieb Oli72: wĂŒrde es demanch ausreichen, das Konto zu deaktivieren und nach einieger Zeit kommt der Benutzer nicht mehr auf die Freigabe, egal ob die Authentifizierung ĂŒber Kerberos oder NTML lĂ€uft.  Wenn ich es richtig verstehe, ist Deine Frage eher diese hier: "Hat der fĂŒr den User erstellte Token mit der Information, dass er auf die Freigabe zugriefen darf, einen Zeitstempel, aber dem er nicht mehr gĂŒltig ist?" Zitieren
Oli72 2 Geschrieben 14. Juli 2024 Autor Melden Geschrieben 14. Juli 2024 vor 36 Minuten schrieb BOfH_666:  Wenn ich es richtig verstehe, ist Deine Frage eher diese hier: "Hat der fĂŒr den User erstellte Token mit der Information, dass er auf die Freigabe zugriefen darf, einen Zeitstempel, aber dem er nicht mehr gĂŒltig ist?" besser formuliert. Genau  Zitieren
daabm 1.396 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket fĂŒr den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM. Â Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets". Â PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe 1 2 Zitieren
v-rtc 92 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 vor 18 Minuten schrieb daabm: Windows authentifiziert by default per negotiate. Wenn der User ein Kerberos-Ticket fĂŒr den Zielhost bekommt, dann wird Kerberos verwendet. Klappt das nicht, dann NTLM.  Bei Kerberos gilt: Jedes Ticket hat eine Lifetime. Und die Lifetime aller Tickets ist diejenige des TGT. Ist die abgelaufen, muss erneuert werden, und das geht nur, wenn der User sich authentifizieren kann - also weder gesperrt noch deaktiviert ist. Zum Schauen: "klist tgt" bzw. "klist tickets".  PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe Ich find das so sc*** kompliziert đ aber Du hast es deutlich besser erklĂ€rt als damals im Kurs beschrieben wurdeâŠÂ 1 Zitieren
cj_berlin 1.419 Geschrieben 14. Juli 2024 Melden Geschrieben 14. Juli 2024 vor 2 Stunden schrieb daabm: PS: Anscheinend wird das TGT automatisch erneuert bei jeder TGS-Anforderung. Sagen zumindest die Timestamps der Tickets, die ich hier grad so habe Ja, das ist so. Der maximale Renewal-Zeitraum (Default: 7 Tage) gilt aber dennoch ab der Erstasstellung. Zitieren
Oli72 2 Geschrieben 15. Juli 2024 Autor Melden Geschrieben 15. Juli 2024 Danke euch auf jedem Fall. Zum GlĂŒck diskutieren hier auch die Profis.   1 Zitieren
Empfohlene BeitrÀge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich spÀter registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.