Anmeldungen mit falschen Anmeldedaten im Active Directory durch Red Hat 8
Hallo Freunde im Forum,
ich hoffe ihr könnt mir etwas weiterhelfen. Seit ein paar Wochen "quälen" mich Anmeldungen mit falschen Zugangsdaten an
unserem Active Directory von einem Server mit Red Hat 8. Der Server wurde ursprünglich von uns installiert und mit keinerlei
Daten für oder aus dem Active Directory versehen.
Danach wurden Anwendungen durch einen Dienstleister installiert und eingerichtet. Um auch E-Mails von dem Server aus zu
versenden, haben wir einen Benutzer im AD angelegt, der für den E-Mail-Versand über unseren Exchange genutzt wird. Der
Dienstleister hatte aber Probleme diese Daten in deren Skripten zu nutzen.
Nach einigen Prüfungen meinerseits stellte sich ein Sonderzeichen im Passwort als Ursache heraus und der Dienstleister wurde
informiert und gebeten alle hinterlegten Daten anzupassen.
Seit ein paar Wochen überwache ich Anmeldungen "kritischer" Benutzer und hier fällt mir auf, dass der erstellte AD-Benutzer ständig
mit falschen Anmeldedaten an den DCs ankommt. Laut Dienstleister wird dieser Benutzer aber nicht auf dem Red Hat genutzt, naja
wie senden die ansonsten E-Mails?!
Ich habe selbst einmal gesucht und zumindest zwei Konfigurationsdateien in deren Anwendungsverzeichnissen gefunden und die
Anmeldedaten hier korrigiert. Da der Dienstleister sich nicht sehr bemüht, habe ich einmal mit Wireshark mitgeschnitten:
Ich sehe hier folgende Einträge:
Und darauf dann:
Die Logs der Domain Controller und diese Einträge sind eindeutig, dass es vom Red Hat kommt. Der Server ist nicht im Active Directory
integriert und läuft als eigenständiger Server.
Ich bin nicht unbedingt ein Linux-Spezialist, aber kann mir hier jemand etwas mehr sagen? Oder gibt es einen Weg die genaue Ursache
für diese Anmeldungen mit falschen Anmeldedaten zu finden?
Es scheint aus meiner Sicht etwas automatisches oder ein Skript zu sein, meine Logs zeigen die Anmeldungen rund um die Uhr, vermehrt
am Wochenende...
Vielen, vielen Dank für eure Ideen und Tipps
ich hoffe ihr könnt mir etwas weiterhelfen. Seit ein paar Wochen "quälen" mich Anmeldungen mit falschen Zugangsdaten an
unserem Active Directory von einem Server mit Red Hat 8. Der Server wurde ursprünglich von uns installiert und mit keinerlei
Daten für oder aus dem Active Directory versehen.
Danach wurden Anwendungen durch einen Dienstleister installiert und eingerichtet. Um auch E-Mails von dem Server aus zu
versenden, haben wir einen Benutzer im AD angelegt, der für den E-Mail-Versand über unseren Exchange genutzt wird. Der
Dienstleister hatte aber Probleme diese Daten in deren Skripten zu nutzen.
Nach einigen Prüfungen meinerseits stellte sich ein Sonderzeichen im Passwort als Ursache heraus und der Dienstleister wurde
informiert und gebeten alle hinterlegten Daten anzupassen.
Seit ein paar Wochen überwache ich Anmeldungen "kritischer" Benutzer und hier fällt mir auf, dass der erstellte AD-Benutzer ständig
mit falschen Anmeldedaten an den DCs ankommt. Laut Dienstleister wird dieser Benutzer aber nicht auf dem Red Hat genutzt, naja
wie senden die ansonsten E-Mails?!
Ich habe selbst einmal gesucht und zumindest zwei Konfigurationsdateien in deren Anwendungsverzeichnissen gefunden und die
Anmeldedaten hier korrigiert. Da der Dienstleister sich nicht sehr bemüht, habe ich einmal mit Wireshark mitgeschnitten:
Ich sehe hier folgende Einträge:
Lightweight Directory Access Protocol
LDAPMessage bindRequest(1) "//LDAP-Pfad//" simple
Und darauf dann:
Lightweight Directory Access Protocol
LDAPMessage bindResponse(1) invalidCredentials (80090308: LdapErr: DSID-0C090439, comment: AcceptSecurityContext error, data
52e, v4563) messageID: 1 protocolOp: bindResponse (1)
Die Logs der Domain Controller und diese Einträge sind eindeutig, dass es vom Red Hat kommt. Der Server ist nicht im Active Directory
integriert und läuft als eigenständiger Server.
Ich bin nicht unbedingt ein Linux-Spezialist, aber kann mir hier jemand etwas mehr sagen? Oder gibt es einen Weg die genaue Ursache
für diese Anmeldungen mit falschen Anmeldedaten zu finden?
Es scheint aus meiner Sicht etwas automatisches oder ein Skript zu sein, meine Logs zeigen die Anmeldungen rund um die Uhr, vermehrt
am Wochenende...
Vielen, vielen Dank für eure Ideen und Tipps
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3363887769
Url: https://administrator.de/contentid/3363887769
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Dienstleister die Möbel gerade rücken scheitert weshalb?
Moin,
ist auf der Red Hat Kiste irgendwo ein AD-/LDAP-Sync eingerichtet -> dann wäre dort der Fehler zu suchen.
Da wir die installierte Anwendung nicht kennen, kann man schlecht gezielte Tipps geben. Also nochmal an den Dienstleister wenden.
Gruß
cykes
P.S. In der (zweiten) Fehlermeldung besagt der Fehler 52e: Benutzer korrekt, Passwort falsch.
ist auf der Red Hat Kiste irgendwo ein AD-/LDAP-Sync eingerichtet -> dann wäre dort der Fehler zu suchen.
Da wir die installierte Anwendung nicht kennen, kann man schlecht gezielte Tipps geben. Also nochmal an den Dienstleister wenden.
Gruß
cykes
P.S. In der (zweiten) Fehlermeldung besagt der Fehler 52e: Benutzer korrekt, Passwort falsch.
Hallo,
vielleicht liegen die Zugangsdaten ja - zusätzlich - auch noch in einer Datenbank.
Wobei das Problem mit einem Ticket beim „Dienstleister“ erledigt sein sollte. Falls nein - bete, dass niemals etwas Ermsthaftes passiert
Gruß,
Jörg
vielleicht liegen die Zugangsdaten ja - zusätzlich - auch noch in einer Datenbank.
Wobei das Problem mit einem Ticket beim „Dienstleister“ erledigt sein sollte. Falls nein - bete, dass niemals etwas Ermsthaftes passiert
Gruß,
Jörg