[totoo]

Citat:

Originally posted by studiox@Aug 23 2008, 17:53
Så om jag tog min privata dator och kopplade upp mig till en share på er server, eller bara skrev ut ett dokument på en skrivare som är utdelad på servern så skulle jag kunna bli inloggad på intranätet lätt som en plätt genom att bara veta ett användarnamn som någon har i företaget?

Jag är ingen nätverkstekniker och vet inte riktigt hur säkert ett sånt här system är. Men jag förutsätter att man inte kan bli inloggad som en viss användare på nätverket om man inte har loggat in med de uppgifter som admin har skapat i AD:t.

Menar du att man kan sno någons identitet av att bara känna till användarnamnet?

Min logg ser ut såhär precis nu:

\\172.26.82.15 NBANKS Windows 2002 Serv 1 21:00:54
\\172.29.80.21 JDAVIS Windows 2002 Serv 1 19:45:54

Jag förutsätter att man inte kan bli att heta JDAVIS i denna lista om man inte har loggat in med de uppgifter som ligger i AD:t. Men jag kanske har fel?

[studiox]

NET visar ju bara vilka som fått en session till just den servern.
Du får en session genom att du exempelvis kan skriva ut på en skrivare (som använder NET share). Skrivare brukar du kunna komma åt utan att behöva logga in på servern, beror på lite hur dom är utdelade.

Således kan du logga in på en dator (utan domänen) där du själv skapar ett användarnamn som heter samma sak som ett som ligger i domänen (Men du loggar inte in i domänen) - Sedan skriver du ut på en delad skrivare på servern, och NET sessions borde visa dig där.

Är inte 100% på att det fungerar, men du kan ju testa själv

[totoo]

Jag frågade dom idag och dom sa att utan att man behöver ett admin domänkonto för att göra något överhuvudtaget på nätverket. Det går inte att skriva ut eller göra ett jota utan att vara inloggad enligt vad en av deras tekniker säger.

Men ett stort tack ska du ha som kritiserar... Tack vare dig kanske vi hittar nåt som inte håller.

[SimonP]

Skulle man få en session utan att behöva logga in med ett lösenord så skulle jag personligen säga att nått är fel i nätverket...

[patrikweb]

Se för f-n till att intranät endast går komma åt internt om du ska använda ntlm för att få tag i användarnamn eller ser till att den även kollar även vilken AD domän den sänder.

Annars kan du med valfri dator se till att komma in från valfritt användarnamn, om du då inte kör någon kontroll även med LDAP mot AD för verkligen se om det är korrekt.

Antingen ntlm och endast läsa ut användare utan någon kontroll om det är sant - lättast

Eller använda ntlm och köra köra auth på riktigt, går lösa smidig med IIS annars får du köra med ldap eller liknande.

Sedan finns det olika konton med i AD, användarkonton och datorkonton. Teknisk sätt kan en dator ha en rättighet i nätverkat utan att behöva någon använderkonto som loggat in.

Att använda net session låter inte som någon stabil fungerande lösning i det stora hela, visst det kan fungera.

Bästa sättet är ldap för att kunna läsa ut valfri data som kan behövas, annars kan du säkert lösa det genom att införa att det körs ett script när användaren loggar in som skickar den infon till någon applikation på intranät servern.

[studiox]

Citat:

Originally posted by SimonP@Aug 25 2008, 19:39
Skulle man få en session utan att behöva logga in med ett lösenord så skulle jag personligen säga att nått är fel i nätverket...

Du menar alltså att alla skrivare som är utdelade i alla nätverk i hela världen kräver en valid user? Det är inte min erfarenhet iaf.

[totoo]

Citat:

Originally posted by patrikweb
Bästa sättet är ldap för att kunna läsa ut valfri data som kan behövas, annars kan du säkert lösa det genom att införa att det körs ett script när användaren loggar in som skickar den infon till någon applikation på intranät servern.

Fast vad jag förstår går detta inte att göra med AD't utan att tvinga till en extra inloggning.

Förutsättningarna är alltså "redan inloggad windowsanvändare surfar till siten, som transparent identifierar windowsanvändaren", och det verkar inte gå i apache.

Men i alla fall, krav på intern IP ska det absolut vara och om man inte kan få en session utan att vara inloggad med lösenord mot domänen så borde det fan vara vattentätt.

Det vore jäkligt skönt om man kan köra skarpt mot AD't, men om det inte går att mappa IP-> user så är det värdelöst i detta fall...

[patrikweb]

Citat:

Originally posted by totoo@Aug 26 2008, 17:17

Citat:

Fast vad jag förstår går detta inte att göra med ADt utan att tvinga till en extra inloggning.
Förutsättningarna är alltså redan inloggad windowsanvändare surfar till siten, som transparent identifierar windowsanvändaren, och det verkar inte gå i apache.
Men i alla fall, krav på intern IP ska det absolut vara och om man inte kan få en session utan att vara inloggad med lösenord mot domänen så borde det fan vara vattentätt.
Det vore jäkligt skönt om man kan köra skarpt mot ADt, men om det inte går att mappa IP- user så är det värdelöst i detta fall...

Med NTLM Auth och LDAP eller liknande så bör du kunna koda en lösning för göra en riktig inloggning. Hoppar du över att den ska kolla om uppgifterna stämmer så kan du bara läsa ut användarnamnet och AD domän men du kan aldrig bekräfta äktheten på det.

Eller kör du ett skript på varje dator när dom loggar in, som läser ut USERNAME samt USERDOMAIN.

Du kan ju köra ett exempel i cmd, typ echo %USERNAME% %USERDOMAIN% sedan skickar det som POST mot webbservern som loggar det även tar ut IP samtidigt.

Detta är självklart ingen ubersäker lösning, frågan är mer om ni har anställda som är så pass kunniga som dom skulle göra något.

[totoo]

Hmm... Ja, det vore kanske ett alternativ att göra så...

Men frågan är om nån verkligen kan bryta sig in på session-listan utan att vara inloggad på riktigt.

Jag försöker komma in på den listan utifrån, men jag lyckas inte hamna där, så frågan är vad man behöver göra för att dyka upp där. Om det inte går att hamna på den listan utan att vara inloggad mot företagets domän så måste denna lösning vara tillräckligt säker.

Det borde ju (enligt mina tolkningar) inte gå att hamna på den listan om man är ansluten mot någon annan domän, på något annat nätverk.

[SimonP]

Citat:

Ursprungligen postat av studiox

Citat:

Du menar alltså att alla skrivare som är utdelade i alla nätverk i hela världen kräver en valid user? Det är inte min erfarenhet iaf.

Om man har en server som innehåller känslig information skall man undvika att dela ut en skrivare via den servern. Endera skriver klienterna ut direkt till skrivaren via TCP/IP, ingen session krävs då mot huvudservern, eller också delar man ut skrivaren via en separat Print-server.