none
Refresh du token Kerberos en connexion VPN RRS feed

  • Question

  • Bonjour,

    J'aimerai savoir comment s'effectue le refresh du token kerberos lorsqu'un utilisateur disposant d'un poste Windows 10 joint à un domaine Active Directory 2012 (natif) se connecte à distance en VPN après avoir ouvert sa session en cache sur son poste?

    Plus précisément, je crois savoir que le token kerberos est raffraichit à l'ouverture de la session utilisateur, donc si j'ajoute l'utilisateur à un groupe AD comment récupérera t'il le token kerberos s'il ouvre sa session en cache avant de se connecter au VPN?

    Est-ce que ce token peut être rafraichit après l'ouverture de session? 

    Le poste est un poste Windows 10 professionnal build 17758 et l'AD porté par des DC Windows Sever 2012.

    Le VPN est du SSL fortinet.

    Merci de votre aide.


    Orwell

    mercredi 18 mars 2020 10:57

Réponses

  • En gros pour te résumer si tu te logues en local ton client utilises lsaas, si tu te connectes au vpn 10min apres et que tu veux acceder a une ressource, tu auras un ticket par ton server kdc.

    Cette article de notre ami Philippe t'expliquera tout si tes intéressé par comprendre en détail.

    https://www.pbarth.fr/node/336


    mercredi 18 mars 2020 21:15

Toutes les réponses

  • Bonjour,

    Je pense que la réponse à ta question se trouve sur ce lien : http://woshub.com/how-to-refresh-ad-groups-membership-without-user-logoff/

    Il faut d'abord purger les tickets et ensuite forcer une mise à jour.

    En gros klist purge.

    Après il me semble que la commande gpupdate permet de forcer aussi la mise à jour ticket.

    Romain


    • Modifié Romain.D mercredi 18 mars 2020 12:36
    mercredi 18 mars 2020 12:33
  • Merci Romain,

    Avec le klist purge ne risque t'il pas de ne plus pouvoir accéder à son profil local sur son poste une fois la session fermée?

    C'est un utilisateur itinérant qui se connecte en permanence en VPN et il n'est pas admin de sa machine il ne peut donc même pas créer un compte local pour accéder au profil de son compte AD.


    Orwell

    mercredi 18 mars 2020 14:16
  • Bonjour,

    Avec le klist /purge tu risques rien, les droits actuelle sont préservés, et en essayant d'accéder à une ressource parexemple il pourra forcer une nouvelle demande de tickets, de toute façon la liste se recréera apres un moment.

    Ce que je peux te garantir par expérience que cela ne force pas l'actualisation pour l'ajout dans des nouveaux groupes, soit tu te delogues et relogues, soit tu attends la fin de ton ticket pardefaut 10 heures et il recontactera l'ad pour un nouveau jeton.



    • Modifié M dakhama mercredi 18 mars 2020 14:42
    mercredi 18 mars 2020 14:41
  • Merci M Dakhama,

    Donc si je comprends bien, le jeton se renouvelle par defaut toutes les 10h?
    Pour que je comprenne parfaitement prenons l'exemple d'un cas précis.

    Celui L'utilisateur disposant d'un poste Windows 10 joint au domaine Active Directory 2012  et qui n'utilise son poste qu'au travers d'un connexion VPN SSL (Remote Access).

    Si l'utilisateur ouvre sa session en cache sur son poste Windows 10 à 10h15 le matin et qu'il se connecte au VPN SSL à 10h20, dans ce cas:

    - Est-ce qu'il existe un token en cours de validité à l'ouverture de session Windows?
    - Est-ce qu'à la connexion VPN, le token est il rafraichit / renouvelé ?
    - Si l'utilisateur ferme sa session windows au bout de 2 heures, le token n'est donc pas renouvelé ?

    Merci de vos réponses 


    Orwell

    mercredi 18 mars 2020 15:44
  • Salut, 

    Tout dépend de comment est configuré ton VPN, pour l'ouverture de session tu utilises les droits locaux, si tu essaies klist tu vas trouver qu'il y a rien. En fait c'est pas le vpn qui compte, c'est l'accès aux ressources ou au moment de contacter le serveur KDC ( dc si tu veux) qu'une authentification est nécessaire (transparente) dans ce cas, et que le dc doit délivrer un jeton sinon tu n'auras accès a aucune ressource 



    • Modifié M dakhama mercredi 18 mars 2020 21:10
    mercredi 18 mars 2020 21:09
  • En gros pour te résumer si tu te logues en local ton client utilises lsaas, si tu te connectes au vpn 10min apres et que tu veux acceder a une ressource, tu auras un ticket par ton server kdc.

    Cette article de notre ami Philippe t'expliquera tout si tes intéressé par comprendre en détail.

    https://www.pbarth.fr/node/336


    mercredi 18 mars 2020 21:15
  • Merci beaucoup.

    C'est plus clair.


    Orwell

    jeudi 19 mars 2020 10:18