unbekannternr1
Goto Top

LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort.

Hallo,
Ich versuche gerade für VPN Nutzer LDAP Authentifizierung zu realisieren über OpenVPN. Funktioniert auch generell ohne Probleme.
Wenn ich einen User allerdings zwinge das Kennwort zu ändern oder es abläuft kann er das natürlich über VPN nicht tun.
Er kann die Verbindung gar nicht erst aufbauen. Weil LDAP oder RADIUS den User nicht authentifiziert.
Gibt es eine Möglichkeit dieses zu ermöglichen? Er weiß ja Kennwort ist korrekt nur halt abgelaufen und er ihn trotzdem zulässt?

Zur info ich nutze als Endpunkt pfSense. Und windows Server2008 R2 Domain.

Danke schon mal fürs lesen.

Content-ID: 328113

Url: https://administrator.de/contentid/328113

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

132272
132272 01.02.2017 aktualisiert um 11:48:15 Uhr
Goto Top
Computer- /Userzertifikate für die Authentifizierung im VPN nutzen face-wink

Gruß nachfrage
UnbekannterNR1
UnbekannterNR1 01.02.2017 um 11:56:17 Uhr
Goto Top
Nutzen wir auch, es ist ein doppeltes verfahren gewünscht. Geplant (SSL/TLS + UserAuth)
132272
132272 01.02.2017 aktualisiert um 12:01:19 Uhr
Goto Top
Dani
Dani 01.02.2017 um 20:56:29 Uhr
Goto Top
Moin,
sowas kannst du ganz leicht mit ADFS + Webapplikationsproxy nachbauen. Vorausgesetzt die Windows Server Lizenzen sind vorhanden. face-smile


Gruß,
Dani
UnbekannterNR1
UnbekannterNR1 01.02.2017 um 21:03:30 Uhr
Goto Top
Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll? Und gibt es evtl. Irgendwo nen TUT?
Dani
Dani 01.02.2017 um 21:32:00 Uhr
Goto Top
Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll?
In welchen Zusammenhang?

Und gibt es evtl. Irgendwo nen TUT?
Bestimmt... ich halte mich immer ans Microsoft Technet.


Gruß,
Dani
UnbekannterNR1
UnbekannterNR1 02.02.2017 um 08:22:23 Uhr
Goto Top
Zitat von @Dani:

Die Idee ist Cool. Aber ist es aus Sicherheitssicht sinnvoll?
In welchen Zusammenhang?

Im Zusammenhang IT-Sicherheit weil es wäre ja ein Webservice der mehr oder weniger auf unser AD zugreift.

Ich hätte das jetzt so verstanden


WEBPROXY > HTTPServer > AD Server
 WAN         DMZ          LAN
Dani
Dani 03.02.2017 um 18:33:39 Uhr
Goto Top
Ich hätte das jetzt so verstanden
Fast, Internet -> WebAppProxy -> ADFS -> DC(s).

Im Zusammenhang IT-Sicherheit weil es wäre ja ein Webservice der mehr oder weniger auf unser AD zugreift.
Was soll den deiner Ansicht nach passieren? Es kann jemand von außen Versuchen für die Konten das Passwort erfolgreich zu ändern. Aber werr konsequent Passwortrichtlinien umsetzt und nach x fehlerhaften Anmeldeversuchen das Konto sperrt hat eigentlich nichts zu befürchten. Des Weiteren muss ein Gast erstmal das Webportal finden, wenn du es nicht gerade auf der Homepage direkt mit Link publizierst. Ihr habt sicher OWA oder Outlook Anywhere veröffentlicht. Ist eigentlich nichts anderes.


Gruß,
Dani