none
an Windows anmelden... aber wie? RRS feed

  • Frage

  • Im Netzwerk kann ich mich per Kerberos an einen Server anmelden. Sehr gut... aber, das geht nur, wenn ich den DC erreichen kann. Wenn ich jetzt aber z.B. mich auf einen Server mit Dienst XY verbinde und der eine Impersonation durchführen will, ich mich aber nicht per Kerberos an ihm anmelden kann, dann muss ich 'ne andere Lösung haben.

    Die Frage ist jetzt welche. NTLM soll ja nicht sicher sein... also dachten wir, zuerst verschlüsseln per RSA/DH und so und dann NTLM nutzen... oder wir senden über diese verschlüsselte Verbindung dann ... was? Klartext? Oder ich nutze den Schannel oder den Digest oder Negotiate oder... CredSSP ?? ... was ist die beste Idee um einen "security context" zu haben auf dem Server? ... kann ich das überhaupt ohne eine AcceptSecurityContext Funktion erreichen um eine Impersonation zu machen? (LogonUser ginge noch, erzeugt aber glaub ich andere security context Token...) ...

    Gibt's da Erfahrungswerte? Was ist am besten?

    danke...

    Rudolf

    • Verschoben Ionut Duma Freitag, 11. April 2014 11:44 AD Frage
    Donnerstag, 10. April 2014 14:20

Alle Antworten

  • > Ich denke fuer diese Frage wirdst Du besser Support in dem AD Forum
    > bekommen.
     
    Wenn ich das richtig interpretiere, eher in einem der VS-Entwicklerforen...
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 11. April 2014 12:08
  • wahrscheinlich bekomm ich sowieso nirgends eine Antwort...

    trotzdem hab ich gleich noch eine Frage... Annahme ich würde NTLM über eine bereits gesicherte Verbindung machen... könnte ich dann bei den ISC/ASC Parametern alles auf voll unsicher stellen, wenn ich dem Server vertraue, oder kommuniziert der dann hinten druch mit dem AD-DC in völlig unsicherer Weise, wenn ich das tue und soll ich daher, selbst wenn ich In-Prozess Client/Server spiele (einen anderen Weg um an den SecurityContext zu gelangen bei Klartext-Authentifizierung über verschlüsselte Verbindung habe ich nicht gefunden), immer die ISC/ASC Parameter für die höchste Sicherheit wählen???

    Rudolf

    Freitag, 11. April 2014 17:08
  • > trotzdem hab ich gleich noch eine Frage... Annahme ich würde NTLM über
    > eine bereits gesicherte Verbindung machen... könnte ich dann bei den
     
    Wenn Du einen sicheren Tunnel hast (z.B. VPN oder IPSec), ist alles egal
    - siehe Basic Auth bei Webservern über SSL :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Samstag, 12. April 2014 13:10
  • das mein ich nicht... der Server, der die Daten erhält (angenommen ich hätte durch ein Zertifikat seine Vertrauenswürdigkeit geprüft)... der wird am Ende mit dem DC Kontakt aufnehmen um meine Daten zu prüfen, wenn er in einer Domäne ist

    diese Kontaktaufnahme... kann ich die beeinflussen oder kann ich das nicht? (mit den Flags im AcceptSecurityContext) ... das ist die Frage

    Oder hängt das am Ende rein von den Einstellungen in der Group-Policy in diesem Server drin ab?

    Samstag, 12. April 2014 15:41
  • > diese Kontaktaufnahme... kann ich die beeinflussen oder kann ich das
    > nicht? (mit den Flags im AcceptSecurityContext) ... das ist die Frage
     
    Was bedeutet "wird Kontakt aufnehmen"? Ein Dienst von Dir? Oder xyz?
    Aber Du bist damit wirklich besser in den VS-Foren unterwegs...
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 14. April 2014 08:36
  • Was bedeutet "wird Kontakt aufnehmen"? Ein Dienst von Dir? Oder xyz?
    Aber Du bist damit wirklich besser in den VS-Foren unterwegs...

    Windows tut dies, ich nehme mal an der interne Anmeldedienst (ich ruf nur AcceptSecurityContext auf). Und die Frage ist, ob ich da die Sicherheit beeinflussen kann, je nach Flags, die ich setze...

    Zudem -> hab ich den Thread hier rein verschoben oder wie oder was?? Ich hab ihn ja dort platziert.

    Aber das macht wohl keinen Unterschied, ich denke, das kann sowieso niemand beantworten, wie das immer ist mit Windows-API Fragen. Ich weiss gar nicht wieso ich überhaupt im entferntesten nur daran gedacht habe diese Frage irgendwo zu stellen... sowas Hirnrissiges hätte ich gar nie probieren sollen!

    Montag, 14. April 2014 11:38