RDP-Client mit Kerberos Unterstützung

X

xcvb

Well-Known Member
Hallo zusammen,

TL;DR
Ich suche einen RDP-Client mit guter Kerberos-Unterstützung.

Ich muss mich mit einem Protected User (Windows) an einem Windows-Server anmelden.
Versucht habe ich es bereits mit FreeRDP und rdesktop. Beide funktionieren nicht.
Zunächst hole ich mir mit 'kinit' ein Kerberos-Ticket, prüfe den Erfolg mit 'klist'. Soweit alles okay.
Aber dann....

Code: 
$ xfreerdp /d:mydomain /u:myuser /v:myserver
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_connect:freerdp_set_last_error_ex resetting error state
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx rdpdr
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx rdpsnd
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx cliprdr
[10:50:01:370] [1094:02c12500] [INFO][com.freerdp.primitives] - primitives autodetect, using optimized
[10:50:01:373] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_tcp_is_hostname_resolvable:freerdp_set_last_error_ex resetting error state
[10:50:01:374] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_tcp_connect:freerdp_set_last_error_ex resetting error state
[10:50:01:387] [1094:02c12500] [WARN][com.freerdp.crypto] - Certificate verification failure 'self signed certificate (18)' at stack position 0
[10:50:01:387] [1094:02c12500] [WARN][com.freerdp.crypto] - CN = myserver
Password: 
[10:50:06:096] [1094:02c12500] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_ACCOUNT_RESTRICTION [0x00020017]
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1

Im Windows Event-Log steht dazu u.a folgendes:

Code: 
Fehler beim Anmelden eines Kontos.

......

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Man sieht ja gut, das freeRDP hier anscheinend nicht mal versucht wurde sich über Kerberos zu authentifizieren. Dazu habe ich ein passendes 'Issue' auf Github gefunden, dort das gleiche Problem.....
github.com

[Protected Users] Group Membership Support · Issue #5258 · FreeRDP/FreeRDP

Is your feature request related to a problem? Please describe. In an Active Directory domain, if an account is added to the "Protected Users" group, I am not able to connect to the machine (ERRCONN...
github.com github.com

Hat jemand einen Rat? Mit einen Windows-Client (RDP) klappt das natürlich, aber wir wollen auf dieser Maschine eigentlich kein Windows laufen lassen....
 
Schonmal mit Remmina probiert? Zumindest am Papier sollte er es können, ich selbst habs noch nie probiert, aber Remmina ist mein rdp Client der Wahl.
 
medV2 schrieb:
Schonmal mit Remmina probiert? Zumindest am Papier sollte er es können, ich selbst habs noch nie probiert, aber Remmina ist mein rdp Client der Wahl.
Zum Vergrößern anklicken....
Ja, jetzt habe ich auch Remmina probiert, aber auch hier das gleiche Spiel mit den gleichen Meldungen im Windows Event-Log. Und wieder beim Verbinden dieser Fehler:

Code: 
SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server

Oder muss ich das Kerberos-Ticket noch irgendwie mit dem RDP-Client "verheiraten"? Aber ich meinte gelesen zu haben, dass der Client das automatisch erkennt und dann von sich aus Kerberos-Auth versucht.
 
Anhand der Fehlermeldung würde ich sagen, dass auf dem Server da noch wo ein Häkchen rein muss.

Ich kann dir jetzt nur nicht raten, wo. Über kerberos weiß ich gar nix, SPNEGO und NTSTATUS könnten auch auf die erlaubte Protokollversion von rdp hinweisen.
Einfach mal die Sicherheit (testweise!) runterdrehen und Fehlermeldungen vergleichen.
 
mr44er schrieb:
Einfach mal die Sicherheit (testweise!) runterdrehen und Fehlermeldungen vergleichen.
Zum Vergrößern anklicken....
Ja, kann ich machen, dann wird's auch funktionieren mich per RDP zu verbinden. Aber die Anforderung ist nun mal mich mit einem Windows Protected User anzumelden und für diese User gelten bestimmte Restriktionen, u. a. ist dann die Authentifizierung über NTLM untersagt.
 
xcvb schrieb:
SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
Zum Vergrößern anklicken....
Indicates a referenced user name and authentication information are valid, but some user account restriction has prevented successful authentication (such as time-of-day restrictions).
Zum Vergrößern anklicken....
docs.microsoft.com

[MS-ERREF]: NTSTATUS Values

By combining the NTSTATUS into a single 32-bit numbering space, the following NTSTATUS values are defined. Most values
docs.microsoft.com

Die Authentifizierung an sich ist also gültig.
 
Vielleicht weil die Anmeldedaten korrekt sind? Kein Plan, ich guck mal weiter, was ich hier noch machen könnte.
 
ERRCONNECT_ACCOUNT_RESTRICTION könnte ein Hinweis, aber kein Beweis sein, dass der Nutzer keine Remotedesktopberechtigung hat. Im einfachsten Fall muss er dafür in der entsprechenden Gruppe sein, wie alle unter Windows kann man es es aber unendlich verkomplizieren.
 
Was für ein Windows-Server ist das denn? Ich habe hier xfreerdp mit einem Windows Server 2019 ohne Probleme im Einsatz. Auch wenn der Server in einer Domäne steht, muss ich diese beim Anmelden nicht mitgeben.

Edit: ... wer lesen kann. Ich nutze es ohne Kerberos. Sorry for the noise
 
Yamagi schrieb:
ERRCONNECT_ACCOUNT_RESTRICTION könnte ein Hinweis, aber kein Beweis sein, dass der Nutzer keine Remotedesktopberechtigung hat. Im einfachsten Fall muss er dafür in der entsprechenden Gruppe sein, wie alle unter Windows kann man es es aber unendlich verkomplizieren.
Zum Vergrößern anklicken....
Der Benutzer hat die Rechte, es funktioniert ja mit dem RDP-Client von Windows. Ein erfolgreicher Anmeldeversuch für einen Protected User sieht dann im Windows Event-Log so aus:

Code: 
Ein Konto wurde erfolgreich angemeldet.

......

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Kerberos
    Authentifizierungspaket:    Kerberos
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0
 
Vielleicht irgendwas mit Rechten auf dem Kerberos-Ticket, das ist allerdings geraten und hilft dir im Zweifel nicht. Kurz um, ich weiß es nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben