Anmeldung/Zufallsgenerator

Dieses Thema Anmeldung/Zufallsgenerator im Forum "Windows XP Forum" wurde erstellt von ITM4, 5. Jan. 2007.

Thema: Anmeldung/Zufallsgenerator Hallo zusammen, ein Bekannter von mir arbeitet im AD einer Versicherung; er hat ein firmeneigenes Notebook incl....

  1. Hallo zusammen,

    ein Bekannter von mir arbeitet im AD einer Versicherung; er hat ein firmeneigenes Notebook incl. Dockingstation zu Hause - die Anmeldung im firmeneigenen Intranet erfolgt mittels seinem Namen, seiner Beraternummer mit einmaligen Ergänzungsziffern und seit 02.01. mittels einer 6stelligen Zahl, welche ein kleiner Zufallsgenerator erzeugt und 2 min gültig ist - soweit so gut ..

    Meine Frage nun:
    Wie funzt das mit diesen Zahlen - das es sich dabei um einen Alogrythmus handelt vermute ich mal , aber hat dann der DC alle möglichen Kombinationen gespeichert ??

    Das wären bei einer 6stelligen Zahl ja eine Ummenge von Möglichkeiten :? :? :?

    Kann mir das jemand erklären ???

    Noch ein Hinweis: irgendeine willkürliche 6stellige Zahl (ausgedacht) funzt nicht ...

    Danke im Voraus,

    ITM4
     
  2. Servus,

    naja, das funktioniert recht simpel... Die 6 stellige Zahl in Kombination mit einer PIN wird dazu verwendet einen Hashwert zu errechnen und mithilfe dessen wirst Du dann am Raduis-Server authentifiziert. Die eigentliche Authentifizierung erfolgt also nicht am DC, sondern an einem seperaten Radius-Server. Man kann das natürlich kombinieren, bei mir auf Arbeit ist es allerdings so, dass nach der Einwahl-Authentifizierung die eigentliche AD-Authentifizierung zusätzlich erfolgen muss (mit Benutzername & Domänen-Passwort).

    Der Hashwert funktioniert ähnlich dem Zwischenspeichern von Passwörtern im AD. Wenn ein Client einen Domänenkontroller erreichen kann, überprüft dieser das übergebene Passwort und speichert einen Hashwert lokal auf dem Client. Ist die Domäne nicht erreichbar (weil das Notebook im Aussendienst unterwegs ist, etc...), wird zur Überprüfung der Anmeldung nur der lokal gespeicherte Hashwert des Passworts verwendet. Daher ist es auch nur maximal 10 mal möglich, sich ohne DC anzumelden (zumindest in der Default-Einstellung). Danach wird der Hashwert als ungültig erklärt und du kannst Dich erst wieder anmelden, wenn die Domäne verfügbar ist.

    Du siehst also... der Domänenkontroller bzw. Radius-Server muss keine ellenlangen Passwortkombinationen speichern, dass wäre ähnlich irrsinnig, wie das hinterlegen von Seriennummern auf einer Windows XP CD ;)

    Gruß
    Sven
     
  3. Na das nenn´ich doch mal ne´Antwort !!! O0 O0 O0

    Herzlichen Dank mml mml ;D ;D

    Grüße,

    ITM4

    :danke1: