[adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung
- From: "Lars Fischer" <larsfischer@xxxxxxxxxxxxxxxxx>
- To: <adde@xxxxxxxxxxxxx>
- Date: Thu, 7 Mar 2013 23:26:04 +0100
Hallo Thomas,
wenn du zu Kerberos mal nen guten Beitrag dir anschauen willst dann empfehle
ich diesen Link ->
http://www.microsoft.com/germany/msdn/launch2008/library.aspx?id=T04_DO_1715
die PPT gibts auch zum Download
Gruß Lars
Mit freundlichen Grüßen / with kind regards
Lars Fischer
Abteilungsleiter
TSV 1846 Nürnberg e.V. Abteilung Rugby
Tel: 0170 / 3094931
Facebook: <https://www.facebook.com/rugbynuernberg>
https://www.facebook.com/rugbynuernberg
Mail: <mailto:vorsitzender@xxxxxxxxxxxxxxxxxx>
vorsitzender@xxxxxxxxxxxxxxxxxx
Web: <http://www.rugby-nuernberg.de/> http://www.rugby-nuernberg.de
Vorstand
Verein zur Förderung des Rugbysports in der Metropolregion Nürnberg e.V.
Langer Steig 14
90425 Nürnberg
Fax: 0911 / 3666622
Facebook: <https://www.facebook.com/4rugby> https://www.facebook.com/4rugby
Mail: <mailto:fischer@xxxxxxxxx> fischer@xxxxxxxxx
Web: <http://www.4rugby.de/> http://www.4rugby.de
Steuernummer: 241/111/41998, VR 201393 Vereinsregister Nürnberg.
P Vor dem Ausdruck dieser E-Mail bedenken Sie bitte, dass überflüssiges
drucken die Umwelt belastet
before printing this e-mail, please be aware redundant printing may
accelerate environmental damage
Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt. Sollten Sie
nicht der vorgesehene Empfänger dieser E-Mail und ihres Inhalts
sein oder diese E-Mail irrtümlich erhalten haben, bitten wir Sie, den
Absender unverzüglich darüber zu informieren und diese Nachricht und all
ihre Anhänge vollständig von Ihrem Computer zu löschen.
Jede Form der unbefugten Nutzung, Veröffentlichung, des Kopierens oder der
Offenlegung des Inhalts dieser E-Mail ist nicht gestattet.
This message is intended for the addressee only. If you are not the intended
recipient of this e-mail message and its content or have received this
e-mail in error, please notify the sender immediately and delete this
message and all its attachments.
Any form of unauthorized use, publication, copying or disclosure of the
content of this e-mail is prohibited.
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Thomas Wallutis
Gesendet: Donnerstag, 7. März 2013 18:19
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: [adde] Re: Kerberos und Passwortänderung
Hi,
Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen
wird.
Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die
Client-Zeit verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ
Paketes.
Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen
Bücher und bin zu doof zum Googeln) und auch nicht ganz eindeutig.
Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt.
So wie ich das verstanden habe, erfolgt die Versendung des
KRB_AS_REQ-Paketes (für den User) bei der Anmeldung mit seinem Domänen-Konto
am PC. Bei erfolgreicher Anmeldung erhält der User dann sein TGT und (so
stand es auch wo) ein TGS-Ticket für den PC.
Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der
Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht.
Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten
in der Registry überschreibt.
Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden
gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der
PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht
genau klar ist, was wirklich passierte).
Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den
Admin einen Aussperrung des Users zur Folge haben sollte.
Oder lässt sich eine Situation konstruieren, bei der der User im
KRB_AS_REQ-Paket noch sein altes Kennwort (ja, ja, seinen Hash) nutzt obwohl
der DC schon sein neues Kennwort kennt?
Mit freundlichen Grüßen
Thomas Wallutis
Senior Consultant
Phone: +49 (0)7152 33552 30
Mobil: +49 (0)172 37990 64
Fax: +49 (0)7152 33552 39
EMail: thomas.wallutis@xxxxxxxxxxxxxxxxx
krügernetwork GmbH
Consulting & Training
Bahnhofstraße 63, D - 71229 Leonberg (Germany)
Geschäftsführer: Samuel Krüger
Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101
UST-IDNr.: DE 265501645
http://www.kruegernetwork.de
This email contains information which is confidential and may be privileged.
Unless you are the intended addressee (or authorised to receive for the
addressee) you may not use, forward, copy or disclose to anyone this email
or any information contained in this email. If you have received this email
in error, please advise the sender by reply email immediately and delete
this email.
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Nils Kaczenski
Gesendet: Donnerstag, 7. März 2013 17:42
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: Kerberos und Passwortänderung
Moin,
Liege ich richtig mit der Annahme, dass das Passwort eines Domänen-Benutzers
nur bei der Anfrage nach einem TGT ins Spiel kommt (also bei der
AS_REQ-Nachricht)?
nein. Das Kennwort des Users wird nur lokal vom Winlogon-Prozess
verarbeitet. Bei der Kommunikation mit dem DC wird nur der Hash übertragen.
Der DC kennt das Kennwort nicht, nur den Hash.
Danach hingegen, und das meinst du vermutlich, wird nur das Kerberos-Ticket
übertragen. Eine kennwort- bzw. hashbasierende Anmeldung erfolgt nur
gegenüber den Domänencontrollern.
Das beschriebene Szenario habe ich allerdings nicht verstanden und kann
daher nichts dazu sagen.
Gruß, Nils
--
MVP Windows Server: Directory Services
www.kaczenski.de
Twitter: @Kaczenski
www.faq-o-matic.net
http://about.me/Nils.Kaczenski
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Other related posts:
- » [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung - Lars Fischer
