essiess
Goto Top

Lebewohl NTLM! Wer hat es hinter sich und wer kann helfen?

Ich bin eigentlich so weit, NTLM auf Domaincontrollern in einer Windows-Domäne abzuschalten.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.

Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.

Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.

Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.

Content-ID: 82695784620

Url: https://administrator.de/forum/lebewohl-ntlm-wer-hat-es-hinter-sich-und-wer-kann-helfen-82695784620.html

Ausgedruckt am: 19.12.2024 um 17:12 Uhr

Tobi-2001
Tobi-2001 17.11.2023 um 11:30:23 Uhr
Goto Top
@all

bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
Essiess
Essiess 17.11.2023 um 11:50:07 Uhr
Goto Top
Auf jeden Fall braucht Kerbeos offensichtlich den Hostnamen für die Athentifizierung. Ich habe es mit der IP versucht. Das könnte eine Ursache sein. Ich werde das später noch einmal mit Hostnamen versuchen und berichten.
emeriks
Lösung emeriks 17.11.2023 um 13:05:47 Uhr
Goto Top
bzw.
  • als Ziel den FQDN des Servers
und
  • als Anmeldename den UPN des Benutzers
verwenden
HansDampf06
HansDampf06 17.11.2023 um 17:13:27 Uhr
Goto Top
Zitat von @Tobi-2001:

@all

bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!

Unter Linux nach meiner Erfahrung und Handhabung ganz klar: NEIN. Wird die /etc/krb5.conf richtig konfiguriert, können Nichtmitglieder dennoch jederzeit und problemlos Kerberos-Tickets ziehen. Passende (Test-)Befehle: kinit und klist.

Der Grund dafür ist nach meinem Verständnis, dass Kerberos ein bestimmtes Authentifizierungsverfahren ist, das nicht zwingend eine Domäne voraussetzt. Jedoch bedarf es eines / mehrerer Kerberos-Server, die das benötigte Ticket ausstellen (können). Und diese Aufgabe erledigen nunmal die Domänenkontroller. Daher wird es regelmäßig so sein, dass die Bedeutung von Kerberos untrennbar mit der Nutzung einer Domäne verbunden ist. Zwingend ist das wohl aber nicht.

Das Ziehen von Kerberos-Tickets ohne Domänenmitgliedschaft ist auch deshalb erforderlich, weil ein Client immer nur in einer Domäne ein Mitglied sein. Dennoch kann das Bedürfnis bestehen, sich bei mehreren Domänen anmelden zu können. Demgemäß können in der /etc/krb5.conf mehrere Domänen konfiguriert werden, wenngleich eine Domäne als default definiert wird; das wird regelmäßig die Mitgliedschaftsdomäne sein.

Viele Grüße
HansDampf06
Essiess
Essiess 21.11.2023 um 13:15:02 Uhr
Goto Top
Aktuell stehen noch einige Tests an. Ich werde später berichten.
Es gab noch ein Problem mit Canon-Kopierern, die offensichtlich kein Kerbeos (für Dateiablage) können. Aber das könnte man auf einen anderen Speicherort (außerhalb der Domäne) umleiten.
Essiess
Essiess 21.11.2023 um 15:09:31 Uhr
Goto Top
Zitat von @emeriks:

bzw.
  • als Ziel den FQDN des Servers
und
  • als Anmeldename den UPN des Benutzers
verwenden

Damit erfogt die Authentifizierung der RDP-Verbindung über Kerbeos. Ob der zugreifende PC in der Domäne ist, oder nicht, spielt keine Rolle.