8
LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort.
Hallo,
Ich versuche gerade für VPN Nutzer LDAP Authentifizierung zu realisieren über OpenVPN. Funktioniert auch generell ohne Probleme.
Wenn ich einen User allerdings zwinge das Kennwort zu ändern oder es abläuft kann er das natürlich über VPN nicht tun.
Er kann die Verbindung gar nicht erst aufbauen. Weil LDAP oder RADIUS den User nicht authentifiziert.
Gibt es eine Möglichkeit dieses zu ermöglichen? Er weiß ja Kennwort ist korrekt nur halt abgelaufen und er ihn trotzdem zulässt?
Zur info ich nutze als Endpunkt pfSense. Und windows Server2008 R2 Domain.
Danke schon mal fürs lesen.
Ich versuche gerade für VPN Nutzer LDAP Authentifizierung zu realisieren über OpenVPN. Funktioniert auch generell ohne Probleme.
Wenn ich einen User allerdings zwinge das Kennwort zu ändern oder es abläuft kann er das natürlich über VPN nicht tun.
Er kann die Verbindung gar nicht erst aufbauen. Weil LDAP oder RADIUS den User nicht authentifiziert.
Gibt es eine Möglichkeit dieses zu ermöglichen? Er weiß ja Kennwort ist korrekt nur halt abgelaufen und er ihn trotzdem zulässt?
Zur info ich nutze als Endpunkt pfSense. Und windows Server2008 R2 Domain.
Danke schon mal fürs lesen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328113
Url: https://administrator.de/contentid/328113
Printed on: April 25, 2024 at 10:04 o'clock
8 Comments
Latest comment
Computer- /Userzertifikate für die Authentifizierung im VPN nutzen 
Gruß nachfrage
Gruß nachfrage
Nutzen wir auch, es ist ein doppeltes verfahren gewünscht. Geplant (SSL/TLS + UserAuth)
Moin,
sowas kannst du ganz leicht mit ADFS + Webapplikationsproxy nachbauen. Vorausgesetzt die Windows Server Lizenzen sind vorhanden.
Gruß,
Dani
sowas kannst du ganz leicht mit ADFS + Webapplikationsproxy nachbauen. Vorausgesetzt die Windows Server Lizenzen sind vorhanden.
Gruß,
Dani
Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll? Und gibt es evtl. Irgendwo nen TUT?
Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll?
In welchen Zusammenhang? Und gibt es evtl. Irgendwo nen TUT?
Bestimmt... ich halte mich immer ans Microsoft Technet.Gruß,
Dani
Zitat von @Dani:
Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll?
In welchen Zusammenhang?Im Zusammenhang IT-Sicherheit weil es wäre ja ein Webservice der mehr oder weniger auf unser AD zugreift.
Ich hätte das jetzt so verstanden
WEBPROXY > HTTPServer > AD Server
WAN DMZ LANIch hätte das jetzt so verstanden
Fast, Internet -> WebAppProxy -> ADFS -> DC(s).Im Zusammenhang IT-Sicherheit weil es wäre ja ein Webservice der mehr oder weniger auf unser AD zugreift.
Was soll den deiner Ansicht nach passieren? Es kann jemand von außen Versuchen für die Konten das Passwort erfolgreich zu ändern. Aber werr konsequent Passwortrichtlinien umsetzt und nach x fehlerhaften Anmeldeversuchen das Konto sperrt hat eigentlich nichts zu befürchten. Des Weiteren muss ein Gast erstmal das Webportal finden, wenn du es nicht gerade auf der Homepage direkt mit Link publizierst. Ihr habt sicher OWA oder Outlook Anywhere veröffentlicht. Ist eigentlich nichts anderes.Gruß,
Dani
