Jump to content
Sign in to follow this  
loisyn

Kerberos Ticket Cache

Recommended Posts

Hallo an alle,

 

diesmal habe ich ein sehr spezielles Problem auf einem DC:

 

Unter W2K läuft ein Dienst, angemeldet als User ABC, welcher den Kerberos Ticket Cache ausliest, das Ticket für den ABC-User nimmt und damit auf das AD zugreifen kann.

 

Unter W2K3 schlägt das Auslesen des Tickets fehl.

 

Was hat sich hier geändert?

 

Der ABC-User ist in der Administratoren und der Domänen-Administratoren. Er hat die Rechte "Log on as a Service, Log on as a Batch Job, Act as Part of Operating System"

 

Das Auslesen des Tickets läuft unter Java.

 

Bin um jeden Hinweis dankbar

 

Loisyn

Share this post


Link to post

Hallo Loisyn,

 

darf man fragen wieso der Weg über den Kerberos Ticket Cache geht?

 

Die Java App. könnte sich auch per LDAP am AD authentisieren.

 

Geht die Applikation über die Kerberos 4 oder 5 API?

 

Ist die Applikation von Euch bzw. habt Ihr Zugriff auf die Sourcen?

Share this post


Link to post

Kerberos V5, und, ja, die Anwendung ist von uns.

 

Wie gesagt:

 

Das Problem tauchte jetzt erst auf, als wir das Produkt auf W2K3 installieren wollten.

 

Eine LDAP-Bind Authentifizierung ist nicht erlaubt, da sonst Username und Passwort irgendwo hart gecodet werden müssten.

Das muss vermieden werden.

 

Unter W2K läufts, da kann man aus dem Ticket Cache das Ticket auslesen und verwenden, unter W2K3 gehts nicht!

 

So long Loisyn

Share this post


Link to post

Es würde eine Authentisierung eines Users reichen, der Leserechte auf das AD hat, dieser user muss sonst keine rechte haben... je nachdem was die App. machen soll.

 

Kann aber verstehen, wenn Ihr bei Eurer Kerberoslösung bleiben wollt - kein Thema.

 

Hast Du Dich hier schon umgesehen?

Kerberos Authentication in Windows Server 2003

http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx

 

Speziell:

What's New in Windows Server 2003 Kerberos Authentication

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/kerberos.mspx

 

Evtl. findest Du auch hier Infos, Labmice ist immer eine gute Anlaufstelle :wink2:

http://labmice.techtarget.com/security/kerberos.htm

Dort ist zwar noch nichts speziell zu 2003, aber evtl. liefert der ein oder andere der aufgeführten links infos...

Share this post


Link to post

hallo,

 

dies toent wie ein bekannter bug in der java vm <1.5

das auslesen des tickets cache funktioniert nur unter

windows 2000 korrekt. als workaround kann der

java vm der umgebungsparameter -Dos.name="Windows 2000"

uerbergeben werden koennen.

dies taeuscht der vm vor w2k zu sein und der ticket cache

kann ausgelesen werden. alternativ kann natuerlich auch java

1.5 verwendet werden

 

hth,

alex

Share this post


Link to post

Danke für den Hinweis.

 

Besser spät als nie :D

Ich hoffe loisyn konnte es inzwischen lösen - denn der thread ist von Mitte Juni.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...