Supportanfrage

AD Passwort bei der Anmeldung über SecurAccess ändern

von | 11.Dezember 2015

Zuletzt aktualisiert am von ProSoft Redaktion

Archiv

Darstellung des archivierten Beitrags

Dieser Beitrag wurde aus der Vorgängerversion der ProSoft Knowledge Base übernommen. Er wird im Archiv zur Verfügung gestellt und dient zur Recherche älterer Programmversionen bzw. früherer Fragestellungen.

Sie haben SecurAccess von SecurEnvoy im Einsatz, um Ihren VPN Zugang mit einer Zwei-Faktor-Authentifizierung zu schützen.

Obwohl die Anmeldung über Ihre VPN Anbindung (z.B. Juniper, Cisco, o.ä.) problemlos funktioniert, erhalten Sie von einzelnen Anwendern die Mitteilung, dass sich diese plötzlich nicht mehr anmelden können. Bei der Überprüfung des LogViewer des Security Servers finden Sie zur betroffenen Benutzerkennung folgende Meldung: Access Denied Account Requires AD Password Changing


Ursache: Das für die betroffene Benutzerkennung hinterlegte AD Kennwort ist ungültig, da z.B. abgelaufen.

Ohne gültige AD Authentifizierung (erster Faktor) kann jedoch keine nachgelagerte Zwei-Faktor-Authentifizierung durchgeführt werden.
Erst wenn der Anwender sich mit einer gültigen Kennung dem AD gegenüber authentifiziert hat, kann die zusätzliche Authentifizierung durch SecurAccess durchgeführt werden.

Sollte der AD-Login nicht möglich sein (z.B. wegen notwendiger Änderung des AD Passworts), so wird auch keine weitere Authentifizierung durch SecurAccess durchgeführt, da bereits die Authentifizierung durch den ersten Faktor gescheitert ist.

SecurAccess bietet keinen Möglichkeit für eine „vorgelagerte“ Änderung des AD Passworts an, da dies durch das verwendete RADIUS Protokoll nicht unterstützt wird.
Sie müssen daher zuerst die erfolgreiche Authentifizierung durch den ersten Faktor ermöglichen, sprich: Der Benutzer muss sein Passwort zuerst erfolgreich ändern.


Lösung:
Um den User Helpdesk für diesen Fall zu entlasten, bietet der Hersteller SecurEnvoy die Lösung SecurPassword an.
(https://www.securenvoy.com/products/securpassword/overview.shtm)

Diese Lösung ist separat zu lizensieren und über die Registerkarte „Config“ bereits in SecurAccess Integriert.

Vom Hersteller SecurEnvoy haben wir hierzu folgende Aussage:

This is not possible as the SecurEnvoy Security server uses the RADIUS protocol to communicate with this VPN solution.
There is no parameter within RADIUS to signal this type of event.

However we do have a good solution if the user is able using SMS.
This requires the addition of our SecurPassword product (Self Service Password Reset).
This is where the SecurEnvoy server can see if the password requires changing etc.
Then it sends an alert SMS to the user with a link URL to the SecurPassword Portal (Upon the Securenvoy server).

The user can then set the password via SecurEnvoy.

To date there is no mechanism to do this via VPN using RADIUS.

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]