[adde] AW: [adde] Re: Kerberos und Passwortänderung
- From: Thomas Wallutis <Thomas.Wallutis@xxxxxxxxxxxxxxxxx>
- To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
- Date: Thu, 7 Mar 2013 18:19:04 +0100
Hi,
Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen
wird.
Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die Client-Zeit
verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ Paketes.
Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen Bücher
und bin zu doof zum Googeln) und auch nicht ganz eindeutig.
Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt. So
wie ich das verstanden habe, erfolgt die Versendung des KRB_AS_REQ-Paketes (für
den User) bei der Anmeldung mit seinem Domänen-Konto am PC. Bei erfolgreicher
Anmeldung erhält der User dann sein TGT und (so stand es auch wo) ein
TGS-Ticket für den PC.
Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der
Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht.
Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten in
der Registry überschreibt.
Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden
gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der
PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht genau
klar ist, was wirklich passierte).
Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den
Admin einen Aussperrung des Users zur Folge haben sollte.
Oder lässt sich eine Situation konstruieren, bei der der User im
KRB_AS_REQ-Paket noch sein altes Kennwort (ja, ja, seinen Hash) nutzt obwohl
der DC schon sein neues Kennwort kennt?
Mit freundlichen Grüßen
Thomas Wallutis
Senior Consultant
Phone: +49 (0)7152 33552 30
Mobil: +49 (0)172 37990 64
Fax: +49 (0)7152 33552 39
EMail: thomas.wallutis@xxxxxxxxxxxxxxxxx
krügernetwork GmbH
Consulting & Training
Bahnhofstraße 63, D - 71229 Leonberg (Germany)
Geschäftsführer: Samuel Krüger
Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101
UST-IDNr.: DE 265501645
http://www.kruegernetwork.de
This email contains information which is confidential and may be privileged.
Unless you are the intended addressee (or authorised to receive for the
addressee) you may not use, forward, copy or disclose to anyone this email or
any information contained in this email. If you have received this email in
error, please advise the sender by reply email immediately and delete this
email.
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils
Kaczenski
Gesendet: Donnerstag, 7. März 2013 17:42
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: Kerberos und Passwortänderung
Moin,
Liege ich richtig mit der Annahme, dass das Passwort eines Domänen-Benutzers
nur bei der Anfrage nach einem TGT ins Spiel kommt (also bei der
AS_REQ-Nachricht)?
nein. Das Kennwort des Users wird nur lokal vom Winlogon-Prozess verarbeitet.
Bei der Kommunikation mit dem DC wird nur der Hash übertragen. Der DC kennt das
Kennwort nicht, nur den Hash.
Danach hingegen, und das meinst du vermutlich, wird nur das Kerberos-Ticket
übertragen. Eine kennwort- bzw. hashbasierende Anmeldung erfolgt nur gegenüber
den Domänencontrollern.
Das beschriebene Szenario habe ich allerdings nicht verstanden und kann daher
nichts dazu sagen.
Gruß, Nils
--
MVP Windows Server: Directory Services
www.kaczenski.de<http://www.kaczenski.de>
Twitter: @Kaczenski
www.faq-o-matic.net<http://www.faq-o-matic.net>
http://about.me/Nils.Kaczenski
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Other related posts:
- » [adde] AW: [adde] Re: Kerberos und Passwortänderung - Thomas Wallutis
