Domain-Anmeldung ohne RSA-Token unterbinden

#0
05.05.2006, 09:51
...neu hier

Beiträge: 3
#1 Hallo zusammen,

einem Domänen-Benutzer, der in meiner RSA-Datenbank steht, dem aber noch kein Token zugewiesen ist, ist es möglich, sich lediglich mit seinem Windows-Passwort anzumelden. Dies möchte ich gern unterbinden. Es sollen also nur die Nutzer sich an der Domäne authentifizieren können, denen via RSA auch ein Token zugewiesen wurde.
Weiß jemand wie das geht ? Vielleicht ne generelle Einstellung irgendwo ?

Danke
Gruß Sten
Seitenanfang Seitenende
09.05.2006, 15:31
...neu hier

Beiträge: 9
#2 Hallo,

das müsste doch über das Challenging der Benutzer gehen?

weiter Infos in meinem Blogcast:

http://hemker.blog.de

Dort habe ich genau das gemacht.
__________
Blogcasts zum Thema Windows Server Netzwerke: http://hemker.blog.de
Seitenanfang Seitenende
09.05.2006, 15:46
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,

vielen Dank für Deinen Hinweis, Deine Seite hab ich auch schon besucht und sie hat mir bereits sehr viel weiter geholfen.

Allerdings besteht das Problem immer noch.
Bei den Challenge-Einstellungen des RSA-Server-Agents ist bereits festgelegt, dass ALLE user (mit ausnahme der admins) sich via RSA Token authentifizieren müssen. Wenn ich nun einen User (dieser hat keine admin-rechte) anlege und ihm keinen Token zuweise (das Feld ist leer), dann kann sich dieser User OHNE Token mit seinem Windows-Passwort an der Domäne anmelden. Und genau das möchte ich verhindern. Sollte ich also vergessen, einem User einen Token zuzuweisen, so kann dieser sich problemlos ohne Token anmelden - die RSA-Security greift dann nicht !!! Das wäre nicht gut.

Vielleicht hast Du ja noch eine Idee.
Vielen Dank schonmal

Gruß Sten
Seitenanfang Seitenende
10.05.2006, 12:29
...neu hier

Beiträge: 9
#4 Hallo,

schön das dir mein Blog gefällt, durch solche Rückmeldungen werde ich noch mehr angespornt ;)


Ich habe ehrlich gesagt nie probiert ob ein Benutzer ohne Token sich mit seinem normalen Passwort anmelden kann. In meinem Netzwerk nutze ich für die Domänenauthentifizierung Smartcards.
In der Doku von RSA steht folgendes:
--
The act of assigning a token to a user activates that user. A user is considered active if one or more tokens (or User Passwords) are assigned to the user. Every active user counts against the number of active users allowed by your license—that is, if you are licensed for 900 active users, you can assign up to three tokens (or User Passwords) to each of 900 users.
--
Das heißt für mich:
Solange ein Benutzer nicht aktiviert ist, muss er sich noch mit dem Windows Passwort anmelden können, sonst wäre er ausgesperrt.

Wäre interessant zu wissen wie das Challenging intern genau abläuft, für aktive Benutzer oder nicht?
__________
Blogcasts zum Thema Windows Server Netzwerke: http://hemker.blog.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: