AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Cross-Domain-Authentifizierung in RDP
Thema durchsuchen
Ansicht
Themen-Optionen

Cross-Domain-Authentifizierung in RDP

Ein Thema von Morphie · begonnen am 25. Nov 2014 · letzter Beitrag vom 25. Nov 2014
Antwort Antwort
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#1

Cross-Domain-Authentifizierung in RDP

  Alt 25. Nov 2014, 08:07
Betriebssystem: Win 7,Win 8,Win 8.1
Guten Morgen!

Vielleicht könnt ihr mir ja hier helfen...
Gegeben ist folgendes:
Domäne A
Domäne B
Diese beiden Domönen haben keine Vertrauensstellung.

In Domäne B gibt es einen IIS-Webserver mit NTLM-Authentifizierung.
Dieser Webserver soll für ein paar Benutzern aus Domäne A erreichbar sein. Also habe ich die Benutzer identisch in Domäne B angelegt (Benutzername und Passwort gleich). Das klappt tatsächlich, die Benutzer können sich mit den Credentials aus Domäne A am IIS bei Domäne B anmelden.

Jetzt wollte ich genauso bei RDP vorgehen, allerdings klappt das nicht so einfach wie beim IIS.
Ich bekam zuerst immer die Aufforderung nach Benutzer / Passwort, was aber wohl Standard bei RDP ist, wenn man sich mit einer fremden Domäne verbindet. Dieses Phänomen kann man per GPO "Computer > Administrative Vorlagen > System > Delegierung von Anmeldeinformationen > Delegierung von <Anmeldeinformation> zulassen" beheben, in dem man Windows mitteilt für welchen RDP-Host er die Standardanmeldeinformationen usw. verwenden soll.
Allerdings schluckt RDP meine Anmeldeinformation USER@DomainA für Domäne B nicht. (ist ja auch irgendwie nachvollziehbar)

Gibt es eventuell irgendeinen Trick, mit dem man das Verhalten vom IIS auch auf RDP anwenden kann?


edit: Wenn ich auf dem RDP-Host die Benutzer lokal anlege, komme ich ohne Eingabe von Benutzer / Passwort rauf. Das ist allerdings doof, da es dann ja keine Domänen-Benutzer sind und die GPOs nicht ziehen...


Gruß,
Morphie

Geändert von Morphie (25. Nov 2014 um 08:43 Uhr)
  Mit Zitat antworten Zitat
Christian Seehase
(Co-Admin)

Registriert seit: 29. Mai 2002
Ort: Hamburg
11.116 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: Cross-Domain-Authentifizierung in RDP

  Alt 25. Nov 2014, 10:05
Moin Morphie,

wie soll denn bitte ein Rechner, der keinen Zugriff auf des entsprechende AD hat die zugehörigen GPOs ziehen können?
Dann bräuchtest Du auch keine lokalen Accounts.
Die einzige Lösung, die mir dazu einfällt:
Soweit mögich die Policies lokal einrichten.
Tschüss Chris
Die drei Feinde des Programmierers: Sonne, Frischluft und dieses unerträgliche Gebrüll der Vögel.
Der Klügere gibt solange nach bis er der Dumme ist
  Mit Zitat antworten Zitat
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#3

AW: Cross-Domain-Authentifizierung in RDP

  Alt 25. Nov 2014, 11:59
wie soll denn bitte ein Rechner, der keinen Zugriff auf des entsprechende AD hat die zugehörigen GPOs ziehen können?
Soll er ja gar nicht. Die User aus Domain A sollen sich per RDP auf einen Rechner in Domain B verbinden. Die GPOs kommen dort natürlich von Domain B!

Das einzige Problem ist, dass die Authentifizierung nicht klappt, weil es technisch nunmal nicht die selben User sind. (Benutzername und Passwort sind aber identisch)

Bei RDP scheint die Prüfung also in etwa so zu funktionieren:
Domain\Username = Domain\Username AND Password = Password

Beim IIS scheint die Prüfung aber so auszusehen:
Username = Username AND Password = Password
Dort wird die Domain also scheinbar nicht geprüft... Genau so möchte ich das bei RDP auch haben

Aber ich befürchte die einzige Lösung ist eine One-Way-Vertrauensstellung
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#4

AW: Cross-Domain-Authentifizierung in RDP

  Alt 25. Nov 2014, 13:10
Per RDP kann man sich via "Domain/Benutzername" oder "Benutzername" anmelden (direkt so in das Feld Benutzername eingeben) und das auch aus komplett anderen Netzwerken,
wenn der Benutzername in einer Domain liegt, dann muß Diese mit angegeben werden, sonst würde er nicht gefunden.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (25. Nov 2014 um 13:12 Uhr)
  Mit Zitat antworten Zitat
jensw_2000
(Gast)

n/a Beiträge
 
#5

AW: Cross-Domain-Authentifizierung in RDP

  Alt 25. Nov 2014, 18:59
Warum nicht einfach eine einseitige Vertrauensstellung? Selbst wenn Du es gelöst bekommst, müsstest Du die Benutzer-Passwort Tupel auf beiden Seiten immer konsistent vorhalten. Rein Sicherheitstechnisch ist das schlechter als das gute alte "NT4 Ressourcendomäte-Kontendomäne Konzept". Mehr Arbeitsaufwand steckt auch drin.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:11 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz