[adde] [adde] AW: [adde] Re: Kerberos und Passwortänderung

• From: Stefan Bauer <stefan.bauer@xxxxxxxxxxx>
• To: adde@xxxxxxxxxxxxx <adde@xxxxxxxxxxxxx>
• Date: Thu, 7 Mar 2013 17:53:17 +0100

-----Ursprüngliche Nachricht-----
Von:    Thomas Wallutis <Thomas.Wallutis@xxxxxxxxxxxxxxxxx>
Gesendet:       Do 07.03.2013 17:49
Betreff:        [adde] AW: [adde] Re: Kerberos und Passwortänderung
An:     adde@xxxxxxxxxxxxx; 
> Hi,
> 
>  
> Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen 
> wird.
> 
>  
> Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die 
> Client-Zeit 
> verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ Paketes.
> 
>  
> Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen 
> Bücher 
> und bin zu doof zum Googeln) und  auch nicht ganz eindeutig. 
> 
>  
> Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt. 
> So 
> wie ich das verstanden habe, erfolgt die Versendung des KRB_AS_REQ-Paketes 
> (für 
> den User) bei der Anmeldung mit seinem Domänen-Konto am PC. Bei erfolgreicher 
> Anmeldung erhält der User dann sein TGT und (so stand es auch wo) ein 
> TGS-Ticket für den PC.
> 
>  
> Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der 
> Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht.
> 
>  
> Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten 
> in 
> der Registry überschreibt.
> 
>  
> Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden 
> gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der 
> PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht genau 
> klar ist, was wirklich passierte).
> 
>  
> Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den 
> Admin einen Aussperrung des Users zur Folge haben sollte. 

Hi Thomas,

hast du dir mal mit klist auf deiner Windowsbüchse angeschaut, wie lange das 
TGT-Ticket bzw. ein Service-Ticket wirklich gültig ist?
Bitte beachte bei Kerberos, dass die Zeit immer genau sein muss - das ist 
häufig auch ein Problem wieso Tickets nur wenige Minuten gelten - da Zeit vorne 
oder hinten geht.

Stefan

• References:
  • [adde] AW: [adde] Re: Kerberos und Passwortänderung
    • From: Thomas Wallutis

Other related posts:

• » [adde] [adde] AW: [adde] Re: Kerberos und Passwortänderung - Stefan Bauer

1. Home
2. adde
3. Archive
4. 03-2013

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---