expertenaustausch > microsoft.* > microsoft.german.windows.server.active_directory

Jörg Vosse (07.01.2005, 20:29)
Hallo zusammen,

ich habe folgendes Problem.

Bei uns sind ein par User, bei denen ich Passwörter im AD hinterlegen soll.
Mit den einzelnen Passwörtern sollen Sie sich nur einmal Anmelden können,
dann müssen sie das nächste benutzen usw.

Das ganze soll so angelegt sein wie eine TAN-Liste beim Homebanking. Ich
kenne jedoch lein 3rd party Produkt womit ich beidpielsweise 20 Passwörter
auf einen Account genrieren könnte.

Alternativ wäre meine Frage ob es möglich ist dauerhaft einem User
zuzuteilen das er immer nach einer Anmeldung sei Passwort ändern soll und
dann nie mehr dieses Passwort benutzen darf.

Ich hoffe meine Problematik ist klar sonst fragt bitte.

Vielen Dank schonmal für eure Hilfe.

Gruß
Jörg
Walter Steinsdorfer (07.01.2005, 20:45)
Hallo Jörg,

kannst du genauer schildern was ihr vor habt, bzw. wozu das gut sein soll ?
Jörg Vosse (07.01.2005, 23:57)
Hallo Walter,

danke schonmal für die Reaktion auf meine Frage.

Ich möchte folgendes tun:

Verschiedene User sollen ein Passwort von mir zugewiesen bekommen (ich
vergebe es und gebe es dem user). Nach der ersten Anmeldung des Users soll
das PW dann ablaufen und nicht mehr gültig sein (also nur einmal Anmelden ist
erlaubt). Nach der ersten Anmeldung muss der User ein neues Passwort
bekommen, welches ich ihm wieder mitteile usw. Es soll also eine Art
Passwortliste von mir erstellt werden. Nach jeder Anmeldung fällt das nächste
Passwort weg (eben so wie bei einer TAN-Liste für das Homebanking).

Ich möchte nun gern wissen ob ein Produkt eines Drittherstellers in der Lage
ist eine solche Passwortliste im AD eines USers zu hinterlegen, damit ich
nicht immer manuell neue Passwörter angeben muss.

Hintergrund ist eine sicherere Authentifizierung für einen kleinen
Personenkreis. Da unsere Firma aber keine Tokens kaufen möchte ist dies für
mich der zweitsicherste Weg (eben wie bei der Bank eine Art TAN-Liste - hier
also eine Liste mit Passwörtern, die aber nur einmal benutzt werden können.
Die User sollen sich Remote auf einen Server bei uns per SSL-Gateway
einloggen können.

Da ich keine Tokens einsetzen kann suche ich nach einer Sicheren
Authentifizierung. Vielleicht weißt Du noch eine Alternative??

Vielen Dank schonmal und Gruß
Jörg
Walter Steinsdorfer (08.01.2005, 11:30)
Hallo Jörg,

mir fällt da nur die Authentifizierung per Web ein. Du baust eine Webseite
auf der die Benutzer ihr Passwort und benutzername eingeben müssen um
"dahinterliegende" Dinge zu erreichen. Sobald sich der Benutzer angemeldet
hat wird seine Abmeldung überwacht und gleich nach der Abmeldung das
Passwort auf einen festen Wert geändert. Das ist abe relative aufwendig.
Eine Webseite deswegen, weil ich nicht glaube das man sowas in den MS-Client
hineinbekommt. Wenn es sich nur um einen kleinen Personenkreis handelt
könnte man das auch händisch erledigen und die Konten dieser Benutzer jeden
abend per Skript sperren. Von wie vielen Usern reden wir denn ?
Jan Peter Stotz (08.01.2005, 12:01)
Jörg Vosse schrieb:

> Bei uns sind ein par User, bei denen ich Passwörter im AD hinterlegen soll.
> Mit den einzelnen Passwörtern sollen Sie sich nur einmal Anmelden können,
> dann müssen sie das nächste benutzen usw.


Das hört sich nach einem Einmalpasswort-Verfahren an, wie es z.B. im S/Key
Algorithmus spezifiziert wird.

> Das ganze soll so angelegt sein wie eine TAN-Liste beim Homebanking. Ich
> kenne jedoch lein 3rd party Produkt womit ich beidpielsweise 20 Passwörter
> auf einen Account genrieren könnte.


Statt eine TAN-Liste bekommt man dabei ein kleiner Hardware-Gerät, das für
jeden Login-Vorgang ein neues Passwort generiert. Mir ist aber kein Produkt
bekannt, das so etwas für die Windows-Anmeldung nutzt. Sehr oft wird das
Verfahren bei VPN-Einwahlen verwendet.

> Alternativ wäre meine Frage ob es möglich ist dauerhaft einem User
> zuzuteilen das er immer nach einer Anmeldung sei Passwort ändern soll und
> dann nie mehr dieses Passwort benutzen darf.


Die "Kennwortchronik" (liste der letzten Passwörter) ist AFAIK unter
Windows auf 24 Einträge begrenzt.

Jan
Thomas Wildgruber (08.01.2005, 14:03)
On Fri, 7 Jan 2005 10:29:02 -0800, Jörg Vosse wrote:

> Bei uns sind ein par User, bei denen ich Passwörter im AD hinterlegen soll.
> Mit den einzelnen Passwörtern sollen Sie sich nur einmal Anmelden können,
> dann müssen sie das nächste benutzen usw.
> Das ganze soll so angelegt sein wie eine TAN-Liste beim Homebanking. Ich
> kenne jedoch lein 3rd party Produkt womit ich beidpielsweise 20 Passwörter
> auf einen Account genrieren könnte.


Hi Jörg,

hast du schon versucht, ob man per 'net user' in der Kommandozeile die
Passwörter aus einer Textdatei auslesen und ändern kann? Dann könntest du
das Script im Anmeldescript mit ablaufen lassen und das würde das Passwort
dann bei der Anmeldung ändern.

Nur so eine Idee, ich weis jetzt nur nicht genau, ob sich per 'net user'
eine Liste abfragen lässt aber sowas sollte sich zum Testen auf alle Fälle
mal basteln lassen.

HTH Tom
Ulf B. Simon-Weidner [MVP] (08.01.2005, 15:20)
"Thomas Wildgruber" <ng> wrote in message news:ng:
[..]
> eine Liste abfragen lässt aber sowas sollte sich zum Testen auf alle
> Fälle
> mal basteln lassen.


Hallo Thomas,

Habe ich auch schon überlegt, allerdings mit den folgenden anpassungen:
- VBScript verwenden (kann Encodiert werden, d.h. der User kanns nicht
lesen)
- Passwort-Liste per User erstellen, entweder verschlüsseln (da müsste
man in das VBS eine entschlüsselung einbauen) oder an einer stelle
speichern wo kein User zugriff hat (man könnte dem Script dann einen
Account mitgeben unter dem die Liste abgerufen wird).
- Logoff-Script verwenden, oder Multi-Tier mit psloggedon. Wenn das
Passwort unmittelbar nach dem Logon geändert wird kann dies zu
zugriffsproblemen auf weitere Systeme führen.

Auf alle Fälle sollte sich so eine individuelle Anforderung recht
schnell Scripten/Programmieren lassen, ich glaube nicht das dies die
Investition in ein 3rd Party Tool rechtfertig (dürfte recht teuer
werden und muss auch integriert werden).
Thomas Wildgruber (08.01.2005, 19:35)
On Sat, 8 Jan 2005 13:20:02 +0000, Ulf B. Simon-Weidner [MVP] wrote:

> Habe ich auch schon überlegt, allerdings mit den folgenden anpassungen:
> - VBScript verwenden (kann Encodiert werden, d.h. der User kanns nicht
> lesen)


Ja, ich hab auch noch ein wenig gesucht und das hier gefunden... ->



....bin aber kein VBScript Experte und weis daher derzeit nicht wie man für
das Passwort eine sequentiell abarbeitende Liste realisiert. Gleiches
Problem hatte ich auch bei der Batch Lösung. Es ist zwar mit einfachen
Mitteln möglich dem Net User Befehl eine Variable (%1) zu übergeben aber
ich hatte keine Möglichkeit gefunden die Variable mit Werten aus einer
Datei zu ersetzen, welche sich von oben nach unten durcharbeitet. Eine
Möglichkeit wäre evtl. noch gewesen, immer den ersten Wert zu nehmen und
nach Ablauf des Script diesen dann zu löschen.

> [...]
> - Logoff-Script verwenden, oder Multi-Tier mit psloggedon. Wenn das
> Passwort unmittelbar nach dem Logon geändert wird kann dies zu
> zugriffsproblemen auf weitere Systeme führen.


ACK

> Auf alle Fälle sollte sich so eine individuelle Anforderung recht
> schnell Scripten/Programmieren lassen, ich glaube nicht das dies die
> Investition in ein 3rd Party Tool rechtfertig (dürfte recht teuer
> werden und muss auch integriert werden).


Ich denke auch, dass man das hinbekommt. Mit dem o.g. Scripten wäre die
halbe Miete eh schon mal bezahlt ;-)

Bye Tom
Ulf B. Simon-Weidner [MVP] (09.01.2005, 12:33)
"Thomas Wildgruber" <ng> wrote in message news:ng:
[..]
> Datei zu ersetzen, welche sich von oben nach unten durcharbeitet. Eine
> Möglichkeit wäre evtl. noch gewesen, immer den ersten Wert zu nehmen und
> nach Ablauf des Script diesen dann zu löschen. [snip]


Schau Dir mal die folgenden Scripts an:


Würde die Liste in ein Array einlesen, dann den ersten Wert als
Passwort setzen, alle weiteren Werte eins nach oben rutschen, und für
den letzten Wert dann z.B. gleich ein neues Passwort setzen, z.B. mit
dem Passwortgenerator von Nils:


Der Code hierfür ist auch im MVP-Buch, oder Du fragst mal ganz lieb bei
Nils an (oder schreibst es halt selber).

Am Schluß schreibst Du das Array zurück in die Textdatei. Der erste
Eintrag ist damit weg, und am Schluß steht ein neues, zufällig
generiertes Passwort.

> Ich denke auch, dass man das hinbekommt. Mit dem o.g. Scripten wäre die
> halbe Miete eh schon mal bezahlt ;-)


Jetzt vielleicht schon etwas mehr, die Codeschnipsel hast Du, jetzt
musst Du's nur noch zusammenfügen.

Viel Erfolg.
Thomas Wildgruber (09.01.2005, 14:31)
On Sun, 9 Jan 2005 10:33:44 +0000, Ulf B. Simon-Weidner [MVP] wrote:

> [...]
>> Ich denke auch, dass man das hinbekommt. Mit dem o.g. Scripten wäre die
>> halbe Miete eh schon mal bezahlt ;-)

> Jetzt vielleicht schon etwas mehr, die Codeschnipsel hast Du, jetzt
> musst Du's nur noch zusammenfügen.


Auf alle Fälle gehts auch ohne teure ThirdPartyTools aber wo steckt
eigentlich der fragende OP? Letztlich sollte der es ja zusammen basteln ;-)

Bye Tom
Ulf B. Simon-Weidner [MVP] (09.01.2005, 18:30)
"Thomas Wildgruber" <ng> wrote in message news:ng:
> On Sun, 9 Jan 2005 10:33:44 +0000, Ulf B. Simon-Weidner [MVP] wrote: [..]
> Auf alle Fälle gehts auch ohne teure ThirdPartyTools aber wo steckt
> eigentlich der fragende OP? Letztlich sollte der es ja zusammen basteln
> ;-)


Uupsi - das war ja gar nicht Deine Frage. Dann hat halt Jörg die Arbeit
;-)
Nils Kaczenski [MVP] (10.01.2005, 10:51)
Moin,

Ulf B. Simon-Weidner [MVP] schrieb:

> - VBScript verwenden (kann Encodiert werden, d.h. der
> User kanns nicht lesen)


ist nicht sicher und somit für die Aufgabe völlig ungeeignet. Die
VBS-Kodierung hält nur "unbedarfte" Benutzer fern, das ist nichts, worauf
man eine Lösung wie die geforderte aufbauen kann.

> - Passwort-Liste per User erstellen, entweder verschlüsseln (da müsste
> man in das VBS eine entschlüsselung einbauen) oder an einer stelle
> speichern wo kein User zugriff hat (man könnte dem Script dann einen
> Account mitgeben unter dem die Liste abgerufen wird).


Halte ich für die Anforderung auch für viel zu wenig sicher.

Gruß, Nils
Thomas Wildgruber (10.01.2005, 13:53)
On Mon, 10 Jan 2005 09:51:53 +0100, Nils Kaczenski [MVP] wrote:

>> [...]
>> - Passwort-Liste per User erstellen, entweder verschlüsseln (da müsste
>> man in das VBS eine entschlüsselung einbauen) oder an einer stelle
>> speichern wo kein User zugriff hat (man könnte dem Script dann einen
>> Account mitgeben unter dem die Liste abgerufen wird).

> Halte ich für die Anforderung auch für viel zu wenig sicher.


was schlägst du vor?

Bye Tom
Daniel Melanchthon [MVP] (11.01.2005, 19:02)
Thomas Wildgruber schrieb:
>>Halte ich für die Anforderung auch für viel zu wenig sicher.

> was schlägst du vor?


In den sauren Apfel beißen: Tokenbased Authhentication. Das kostet zwar
Geld, löst aber (anscheinend) das Problem des OP.

Wenn das Geld nicht da ist, sollten die Anforderungen angepasst werden.
Thomas Wildgruber (11.01.2005, 19:35)
On Tue, 11 Jan 2005 18:02:20 +0100, Daniel Melanchthon [MVP] wrote:

>> was schlägst du vor?

> In den sauren Apfel beißen: Tokenbased Authhentication. Das kostet zwar
> Geld, löst aber (anscheinend) das Problem des OP.
> Wenn das Geld nicht da ist, sollten die Anforderungen angepasst werden.


Okay, dann hab ich davon jetzt auch schon mal gehört, unsere GL kommt in
letzter Zeit eh auf die merkwürdigsten Ideen ;-)

Bye Tom
Ähnliche Themen