-----Ursprüngliche Nachricht----- Von: Thomas Wallutis <Thomas.Wallutis@xxxxxxxxxxxxxxxxx> Gesendet: Do 07.03.2013 17:49 Betreff: [adde] AW: [adde] Re: Kerberos und Passwortänderung An: adde@xxxxxxxxxxxxx; > Hi, > > > Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen > wird. > > > Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die > Client-Zeit > verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ Paketes. > > > Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen > Bücher > und bin zu doof zum Googeln) und auch nicht ganz eindeutig. > > > Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt. > So > wie ich das verstanden habe, erfolgt die Versendung des KRB_AS_REQ-Paketes > (für > den User) bei der Anmeldung mit seinem Domänen-Konto am PC. Bei erfolgreicher > Anmeldung erhält der User dann sein TGT und (so stand es auch wo) ein > TGS-Ticket für den PC. > > > Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der > Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht. > > > Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten > in > der Registry überschreibt. > > > Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden > gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der > PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht genau > klar ist, was wirklich passierte). > > > Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den > Admin einen Aussperrung des Users zur Folge haben sollte. Hi Thomas, hast du dir mal mit klist auf deiner Windowsbüchse angeschaut, wie lange das TGT-Ticket bzw. ein Service-Ticket wirklich gültig ist? Bitte beachte bei Kerberos, dass die Zeit immer genau sein muss - das ist häufig auch ein Problem wieso Tickets nur wenige Minuten gelten - da Zeit vorne oder hinten geht. Stefan