Logo faq-o-matic.net
Logo faq-o-matic.net

Wofür braucht es eigentlich diesen SPN?

von veröffentlicht am26. August 2015, 06:03 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Ralfs Blog.

Der SPN, oder ausgeschrieben “Service Principal Name”, ist essentiell für Kerberos Authentifizierungen unter Windows notwendig. Die Profis mögen mir eine stellenweise drastische Vereinfachung in der kommenden Beschreibung verzeihen, mir geht es um das Verständnis…

Meldet sich ein Benutzer an einer Domäne an, dann bekommt er (wenn er sich erfolgreich authentifizieren konnte) vom Domain Controller ein sogenanntes TGT, ein “Ticket Granting Ticket”. Im realen Leben wäre das etwa vergleichbar mit dem Personalausweis (nach Vorlage einer Geburtsurkunde). Will der Benutzer jetzt auf eine Freigabe auf dem Server “file1″ zugreifen, so wendet er sich erneut vertrauensvoll an den DC und erbittet (unter Vorlage seines TGT) ein Session Ticket für den Dienst “CIFS” auf Server “file1″. Der DC durchsucht seine – jetzt kommt’s – Liste der SPNs nach etwas wie “cifs/file1″ oder “host/file1″. Diese Liste entsteht zum Beispiel bei Aufnahme von Servern in die Domäne und wird von den DCs gepflegt. Zu diesen SPNs gehören dann Schlüssel und weitere Attribute, die der DC verwendet, um dem anfragenden Client eine Zutrittsgenehmigung, ein Session Ticket, ausstellen zu können.

… weiterlesen

AD-Interoperabilität mit Linux

von veröffentlicht am24. August 2015, 06:05 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Linux, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Auf meinem Blog findet sich eine sechsteilige Serie mit Artikeln zur Anbindung von Linux-Systemen und -Applikationen an Active Directory.

[Interop 1: LDAP-Anfragen von Linux an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-1-ldap-anfragen-von-linux-an-ad/

[Interop 2: Benutzerinfos für Linux per LDAP aus AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-2-benutzerinfos-fur-linux-per-ldap-aus-ad/

[Interop 3: Linux Benutzer per LDAP an AD authentifizieren | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-3-linux-benutzer-per-ldap-an-ad-authentifizieren/

[Interop 4: Linux Benutzer per Kerberos am AD authentifizieren | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-4-linux-benutzer-per-kerberos-am-ad-authentifizieren/

[Interop 5: Samba mit Kerberos an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-5-samba-mit-kerberos-an-ad/

[Interop 6: Apache mit Kerberos an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-6-apache-mit-kerberos-an-ad/

 

Test-Applikation für ADFS

von veröffentlicht am19. August 2015, 13:12 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

adfsEine ADFS-Installation kann man leider nur schwer testen. Meist fehlt es an dem „Gegenstück", also an einer Web-Applikation, die eine SAML-Anmeldung entgegennimmt.

In seiner Blog-Serie zum Aufbau einer ADFS-Testumgebung hat Microsoft eine simple Beispiel-Applikation veröffentlicht, die hier gute Dienste leistet. Diese Applikation macht eigentlich gar nichts – sie lässt nur eine ADFS-Anmeldung zu und zeigt dann das SAML-Token an. Dadurch eignet sich diese Applikation besonders gut, wenn man „Claim Rules" in ADFS definieren muss, um bestimmte Attribute und Werte zu übergeben. In diesem Fall kann man die Rules mit dieser Applikation entwickeln und testen und sieht sofort, ob die richtigen Daten übergeben werden.

… weiterlesen

PowerShell-Einführung: Kostenloses E-Book

von veröffentlicht am17. August 2015, 06:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Literatur, PowerShell   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Holger Voges von Netz-Weise hat ein kleines E-Book zur Einführung in die PowerShell veröffentlicht. Es richtet sich an Einsteiger und stellt systematisch die Grundlagen dar. Natürlich spart Holger nicht mit Praxisbeispielen, etwa zur Verwaltung von Active Directory.

Das E-Book kann man hier kostenlos herunterladen:

http://www.netz-weise-it.training/fileadmin/redaktion/Weisheiten/Dokus/Powershell_Grundlagen_und_AD.pdf

Windows 10: Gefährliche Sicherheitslücke beim Datensammeln

von veröffentlicht am14. August 2015, 12:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows 10   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Die Zeitschrift iX hat eine gravierende Lücke im Sicherheitssystem von Windows 10 entdeckt. Demnach schlampt Microsofts neues Betriebssystem bei der Handhabung von Verschlüsselungs-Zertifikaten. Ausgerechnet im hochsensiblen Bereich der Daten, die Windows 10 in großem Stil von Benutzern abgreift.

Durch die Lücke ist es einem Angreifer möglich, Windows 10 ein gefälschtes Zertifikat unterzujubeln, das das Betriebssystem klaglos akzeptiert. In der Folge übermittelt das Betriebssystem dann kritische Informationen an den Angreifer – bis hin zu dem Kennwort von Bitlocker. Der Angriff ist nicht trivial, aber er beruht auf gängiger Technik, die in vielen Unternehmen bereits vorhanden ist und sich missbrauchen lässt.

Die Meldung zum Thema der Zeitschrift iX:

[Windows 10: Gefährlicher Zertifikats-Wirrwarr | iX]
http://www.heise.de/ix/meldung/Windows-10-Gefaehrlicher-Zertifikats-Wirrwarr-2776810.html

Warum eine P2V-Migration nicht immer eine gute Idee ist

von veröffentlicht am12. August 2015, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Migration, Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageWer in der Servervirtualisierung eine virtuelle Maschine (VM) einrichten will, steht vor der Auswahl zwischen zwei grundsätzlichen Methoden:

  1. Man kann die VM völlig neu definieren und dann das Betriebssystem und die Anwendungen installieren. Falls es bereits eine bestehende Umgebung mit der betreffenden Applikation gibt, kann man deren Daten migrieren.
  2. Alternativ kann man auch das bereits bestehende Serversystem in eine VM konvertieren. Handelt es sich dabei um einen vorhandenen physischen Server, so nennt man das oft eine “P2V-Migration” (Physical-to-virtual).

P2V-Migrationen sind seit vielen Jahren eine durchaus bewährte Methode. Und doch eignet diese sich längst nicht immer für die Produktion. Warum nicht?

… weiterlesen

Azure Active Directory Connect: Komponenten und Express-Installation

von veröffentlicht am10. August 2015, 06:01 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Azure Active Directory   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

In diesem Artikel möchte ich nun endlich mit der technischen Betrachtung von Azure Active Directory Connect beginnen und die einzelnen Komponenten, die Voraussetzungen für die Installation sowie die Variante der Express-Installation beleuchten.

Als erstes stellt sich allerdings mal wieder heraus, dass nichts so alt ist wie die Information von gestern. Warum? Die von mir getroffene Aussage in dem Artikel „Azure Active Directory: Tools zur Synchronisation“ , dass es sich bei AAD Connect noch um eine Preview Version handelt, ist nicht mehr korrekt. Inzwischen hat Azure Active Directory Connect den GA-Status erreicht und ist im Download Center unter dem folgenden Link (http://www.microsoft.com/en-us/download/details.aspx?id=47594) verfügbar.

… weiterlesen

Windows 10: WiFi Sense (und warum man es vielleicht abschalten will)

von veröffentlicht am5. August 2015, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Netzwerk, Sicherheit, Windows 10   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

In Windows 10 findet ein bisher kaum im Einsatz befindliches Feature den Weg in den breiten Markt. Die Rede ist von WiFi-Sense; auf deutsch: WLAN-Optimierung. Einfach erklärt, handelt es sich bei dieser Funktion um die Möglichkeit, seine WLAN Zugangsdaten mit seinen Outlook.com-, Skype- oder Facebook- Kontakten zu teilen. Hierzu muss die Funktion WLAN-Optimierung entsprechend konfiguriert sein (nach derzeitigen Kenntnissen ist sie standardmäßig aktiv).

Warum das vielleicht keine gute Idee ist, beleuchte ich im Folgenden.

… weiterlesen

Azure Active Directory mit PowerShell

von veröffentlicht am3. August 2015, 06:23 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Azure Active Directory, Cloud, PowerShell   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Ralfs Blog.

Da ich ja in meinem früheren Leben einige Zeit lang MVP für Active Directory war, wollte ich mir mal das Azure Active Directory anschauen. Und weil das mit der Powershell so toll ist, dachte ich, ein kurzer Artikel darüber kann nicht schaden. Und tatsächlich, wenn man die ersten Hürden mal überwunden hat, funktioniert auch alles prima. Ich hab mich aber dennoch entschieden, den (Leidens)weg kurz aufzuschreiben, falls einer irgendwo dabei hängenbleibt oder eine Abkürzung nehmen will (so wie ich) und dann nichts funktioniert. Am Ende gibt es die Zusammenfassung für die Ungeduldigen …

… weiterlesen

Windows 10 und der „versteckte“ Screen-Recorder

von veröffentlicht am29. Juli 2015, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Windows 10   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Eine neue Funktion in Windows 10, die sich vorrangig an Privatkunden wendet, könnte sich auch für „ernsthafte“ Zwecke als nützlich erweisen: Der „Game DVR“ in der XBOX-App. Dabei handelt es sich um einen Screen-Recorder, der eigentlich dafür gedacht ist, Spielabläufe aufzuzeichnen. In den letzten Jahren hat sich nämlich eine lebhafte Community entwickelt, in der ein Spieler ein Video aufnimmt, in dem er ein Spiel spielt, und andere diese Videos ansehen.

Dieser „Videorecorder“ lässt sich allerdings auch für andere Programme verwenden, und damit eignet er sich durchaus als günstige Lösung für das Screen-Recording. Natürlich kann er funktional nicht mit professionellen Lösungen wie Camtasia mithalten, aber als Bordmittel stellt er eine nützliche Option dar.

Der folgende Artikel beschreibt, wie man den Game DVR als allgemeinen Screen-Recorder zweckentfremdet und was man dabei beachten sollte.

http://techau.com.au/windows-10-has-hidden-a-screen-recorder-built-in/

Folgende Grafikkarten unterstützen diese Funktion derzeit:

  • AMD: AMD Radeon – HD 7000-Serie, HD 7000M-Serie, HD 8000-Serie, HD 8000M-Serie, R9-Serie und R7-Serie
  • NVIDIA: GeForce 600-Serie oder höher, GeForce 800M-Serie oder höher, Quadro Kxxx-Serie oder höher
  • Intel: Intel HD Graphics 4000 oder höher, Intel Iris Graphics 5100 oder höher.

© 2005-2015 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!