Kerberos: Passwort geändert W-XP-Client Fehler

Qtex_389b27 · 13. November 2019 um 03:13

Auf meiner Arbeit gibt es momentan ein seltsames Problem.

Nutzer, die auf einem Windows-XP-Client (in einer Domäne) ihr Passwort geändert haben, können sich nicht mehr in einer Webapplikation anmelden, die JAAS benutzt um die Nutzer gegenüber des DC/AD zu authentifizieren.

Ich habe das Gefühl, dass auf dem Client(Windows XP) und der Maschine(Windows 2000) wo die Webapplikation und auch der Kerberos Auth. Server laufen, unterschiedliche Verschlüsselungsalgorithmen benutzen so dass die Passwörte nicht mehr übereinstimmen.

Wie kann ich überprüfen, dass auf dem Client und dem Server den gleichen Verschlüsselungsalgorithmus benutzt wird? Wie kann ich überprüfen ob ein gespeichertes Passwort (ich bin selbst betroffen) auf Client und Server übereinstimmen?

Was könnte noch die Ursache sein, dass sich die Nutzer nachdem sie ihre Passwörter geändert haben sich nicht mehr auf der Webapplikation anmelden können?

Kann mir Jemand helfen? es brennt!

Danke

Steffi

Joe_Kraunzer · 13. November 2019 um 03:13

Hi,
leider kann ich die auch nicht wirklich helfen!

Mein ersten Verdacht währe das die Webapplikation das Domänen Passwort wo gespeichert/gecachet hat und es deswegen nicht mehr funktionrit.

Interessant währe es auch was passirt wenn du das Kennwort wieder auf das allte zurück änderst. Im AD ist das ja auch dann möglich wenn eine Passwortrichtlinie das eigentlich verbietet.

Asonsten kann ich dir noch folgende Foren nahelegen.
www.administrator.de
www.mcseboard.de

Sorry das ich die nicht mehr helfen konnte.
Die Ursache und Lösung würde mich aber interesiren, also wenn es nicht zu viel Aufwand ist würde ich gerne informirt werden.

lg
Josi

Anonym_fd68f32d4e00 · 13. November 2019 um 03:13

Hallo,
leider kenne ich mich mit JAAS nicht aus.
Wir haben aber ähnliche Probleme, die damit zusammenhängen, dass wir im Unternehmen sehr viele DC’s haben. Ändert jemand sein Passwort muss dies erst repliziert werden damit alle DC’s das im AD hinterlegen können. Könnte evtl. die JAAS-Anwendung im Web mit einem Replikationsproblem zusammenhängen?
Ansonsten wüsste ich leider keine Antwort…
Grüße
Raimund

Alexander_Steidl · 13. November 2019 um 03:13

Hallo,
also ich würde versuchen die lokal auf dem Rechner gespeicherten Passwörter zu löschen. Dann soll sich der user wieder neu anmelden dann zieht sich der client die infos von DC neu.
Oder als zweiten schritt könnte man testen (sollte ich keine servergespeicherten Profile haben) das User Profil auf dem Clien neu einzurichten.

LG

Herbert_6d5d03 · 13. November 2019 um 03:13

Hallo Steffi,

leider habe ich noch keine Erfahrungen mit JAAS.

Grundsätzlich kannst Du prüfen ob die Kennwörter für einen User in der Domäne geändert wurden, wenn er sich mit dem geänderten Kennwort an einem beliebigen anderen Recher an der Domäne anmelden kann.

Grundsätzlich wäre vielleicht die Information um was für eine Domäne es sich handelt… Windows 2000, Windows 2000 mixed-mode…

Evtl. wird noch über „NTLM“ innerhalb der Domäne authentifiziert. Was man im JAAS ängelichen könnte „NT Lan-Manager“

Ich hoffe das hilft etwas weiter das Problem einzugrenzen…

Wenn das Prob irgendwie gelöst wurde würde es mich sehr interessiern wo das Problem lag…

Viele Grüsse
Herbert

Musteruser · 13. November 2019 um 03:13

Hallo

Ein Problem mit der Replikation kann möglicherweise das Problem sein, jedoch werden Passwortänderungen sofort repliziert. Auch in großen Umgebungen dauert das nicht besonders lange. Besonders nicht wenn der Nutzer sein Passwort selber ändert. Dann teilt er ja seinem Anmeldeserver die Änderung mit, welcher das dann sofort an seine Replikationspartner weitergibt. Solange die Replikation korrekt arbeitet, ist das ganze ziemlich schnell durch.

Bei deinem Problem könnte eine vielleicht die MaxTokenSize ein Rolle spielen.
Hier ein guter Blog Artikel von meinem alten Microsoft Team. Hoffe das bringt Dich ein wenig weiter.
http://blogs.technet.com/b/deds/archive/2010/06/01/m…

Algorithmus würde ich ausschließen, solange auf andere Ressourcen auf dem Server zugegriffen werden kann. Was man jedoch nicht ausschließen kann ist der Patch Level. Alle Computer sollten alle Updates haben. Da sind immer mal wieder Änderungen in den Systemdateien.

Deine Fragen weiter unter beantworten sich, wenn man sich den Netzwerktrace von Server und Client ansieht. Da kann man genau sehen was passiert.

Grüße aus Shanghai

Dark_Elements · 13. November 2019 um 03:13

Hallo Steffi,

Wie kommst du denn drauf dass sich auf einmal der Algorithmus ändert? Habt ihr ein Update gemacht?

Hast du schon mal geprüft, ob der Server auf dem die Applikation läuft, Verbindung zum LDAP/AD aufnehmen kann?

Habt ihr an den Configs rumgespielt?

Versuch mal folgendes:

Lege einen Benutzer im AD (LDAP Browser oder so, gibts ja wie Sand am Meer) an und versuch dich über die Webapplikation mit diesem Benutzer anzumelden.

Wenns geht weisste dass es was anderes is (AD biete ja auch offline Authentifizierung deshalb…).

Wenn es nicht geht, probier dich mal mit deinem alten Passwort anzumelden.

Kann ja alles möglich sein…

Hoffe ich konnte dir einen passenden Ansatz bieten…

Ich würde mich freuen wenn du mich auf dem laufenden hälst.

Grüße

Nimral · 13. November 2019 um 03:13

Tut mir leid, da kann ich Dir nicht helfen.

Armin.

Andreas_Weiss · 13. November 2019 um 03:13

Hi,
lege auf dem Server u. auf dem Client je einen neuen Benutzer mit gleichem Benutzernamen u. Passwort an. Wenn das und der Zugriff funktioniert, liegt es an der Domäne/AD.
Es liegt nicht an irgendwelchen unterschiedlichen Verschlüsselungsverfahren, weil dann hätte es auch vorher schon nicht funktioniert.

Andreas