Jump to content

Kerberos Ticket Cache


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo an alle,

 

diesmal habe ich ein sehr spezielles Problem auf einem DC:

 

Unter W2K läuft ein Dienst, angemeldet als User ABC, welcher den Kerberos Ticket Cache ausliest, das Ticket für den ABC-User nimmt und damit auf das AD zugreifen kann.

 

Unter W2K3 schlägt das Auslesen des Tickets fehl.

 

Was hat sich hier geändert?

 

Der ABC-User ist in der Administratoren und der Domänen-Administratoren. Er hat die Rechte "Log on as a Service, Log on as a Batch Job, Act as Part of Operating System"

 

Das Auslesen des Tickets läuft unter Java.

 

Bin um jeden Hinweis dankbar

 

Loisyn

Link zu diesem Kommentar

Kerberos V5, und, ja, die Anwendung ist von uns.

 

Wie gesagt:

 

Das Problem tauchte jetzt erst auf, als wir das Produkt auf W2K3 installieren wollten.

 

Eine LDAP-Bind Authentifizierung ist nicht erlaubt, da sonst Username und Passwort irgendwo hart gecodet werden müssten.

Das muss vermieden werden.

 

Unter W2K läufts, da kann man aus dem Ticket Cache das Ticket auslesen und verwenden, unter W2K3 gehts nicht!

 

So long Loisyn

Link zu diesem Kommentar

Es würde eine Authentisierung eines Users reichen, der Leserechte auf das AD hat, dieser user muss sonst keine rechte haben... je nachdem was die App. machen soll.

 

Kann aber verstehen, wenn Ihr bei Eurer Kerberoslösung bleiben wollt - kein Thema.

 

Hast Du Dich hier schon umgesehen?

Kerberos Authentication in Windows Server 2003

http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx

 

Speziell:

What's New in Windows Server 2003 Kerberos Authentication

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/kerberos.mspx

 

Evtl. findest Du auch hier Infos, Labmice ist immer eine gute Anlaufstelle :wink2:

http://labmice.techtarget.com/security/kerberos.htm

Dort ist zwar noch nichts speziell zu 2003, aber evtl. liefert der ein oder andere der aufgeführten links infos...

Link zu diesem Kommentar
  • 5 Monate später...

hallo,

 

dies toent wie ein bekannter bug in der java vm <1.5

das auslesen des tickets cache funktioniert nur unter

windows 2000 korrekt. als workaround kann der

java vm der umgebungsparameter -Dos.name="Windows 2000"

uerbergeben werden koennen.

dies taeuscht der vm vor w2k zu sein und der ticket cache

kann ausgelesen werden. alternativ kann natuerlich auch java

1.5 verwendet werden

 

hth,

alex

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...