Archiv des Intrexx Live! Forums

Hier sehen Sie die Foreneinträge aus dem Intrexx Live! Forum. Bis November 2016 war es das Forum für alle Fragen rund um die Software Intrexx von United Planet.
Seit November 2016 gibt es ein neues moderiertes Forum, das Intrexx Community Forum. Nutzen Sie bitte unbedingt dieses für aktuelle Fragen, Antworten und Informationen.

Wichtig: Dieses Forum dient als Archiv. Die Einträge beziehen sich oft auf ältere Versionen von Intrexx und entsprechen nicht mehr den aktuellen technischen Gegebenheiten.
Daher sollten alle Inhalte ausschließlich von Experten genutzt werden. Bei unsachgemäßer Anwendung kann es zu zeitaufwändigen Problemen oder Datenverlust kommen.
Übersicht > Intrexx Compact: Compact Portal > Passwortrichtlinie des Active Directory berücksichtigen

Passwortrichtlinie des Active Directory berücksichtigen

Gibt es bei einer LDAP Anbindung an das Active Directory die Möglichkeit die Passwortrichtlinien des Active Directory zu berücksichtigen bzw. das Passwort in das Active Directory zu schreiben?

Wir haben ein Active Directory welches für Mitarbeiter (intern) und Kunden (extern) zur Verfügung gestellt wird. Die Benutzerkonten sind jedoch alle in einem zentralen Active Directory angelegt. Läuft nun ein AD Kennwort ab ist eine Anmeldung am Portal nicht mehr möglich. Es gibt keine Interaktion mit dem Portal. Wünschenswert wäre es wenn ein Dialog auftaucht der zum ändern des Passworts auffordert. Natürlich muss diese Passwort dann auch an den entsprechenden Domänen Controller übertragen werden. Ist das mit geringem Aufwand möglich?
22.09.2015 11:21 von Portalnewbie
Ja. So etwas ist prinzipiell möglich.

Wir haben so eine LDAP-Anmeldung im Einsatz, damals bei Version 1.x oder 2 von UP programmieren lassen. Leider musste sie bisher bei jeder neuen Intrexx-Version angepasst werden, wir sind gerade in Abstimmung mit unserem Intrexx-Partner auf eine Lösung für Intrexx7, die dann vielleicht nicht mehr bei weiteren Updates angepasst werden muss.

Das Passwort wird bei uns weitergereicht an unser LDAP und dort wird die "Anzahl der Grace-Logins" abgefragt, diese ist 6 und wird, wenn das Passwort abläuft, runtergezählt - d.h. wenn der Wert < 6 ist, wird der Nutzer zum Passwortändern aufgefordert und das dann auch durchgeführt...

Beatrix
24.09.2015 09:05 von Beatrix
Hallo zusammen,

dieses Thema interessiert mich auch brennend!!

Auch ich möchte die Passwortrichtlinie von Active Directory berücksichtigen und das Passwort (per LDAP) mittels Intrexx ändern können.
Nach Ablauf des Passworts (bzw. X-Tage vor Ablauf) soll eine Aufforderung zum Ändern des Passworts erscheinen!

Aber warum unterstützt Intrexx nicht schon im Standard die Funktionalität, Passwörter (mittels Verzeichnisdienst) ändern zu können ?!
Es gibt doch sicherlich viele Intrexx-Nutzer, die solch eine Funktionalität nutzen (möchten) ?!!

Ich denke, die grundlegenden LDAP-Codes zur Auswertung der Passwortrichtlinien hierfür sind z.B.:
49 / 532 PASSWORD_EXPIRED Indicates an Active Directory (AD) AcceptSecurityContext data error that is a logon failure. The specified account password has expired. Returns only when presented with valid username and password credential.
49 / 533 ACCOUNT_DISABLED Indicates an Active Directory (AD) AcceptSecurityContext data error that is a logon failure. The account is currently disabled. Returns only when presented with valid username and password credential.
49 / 568 ERROR_TOO_MANY_CONTEXT_IDS Indicates that during a log-on attempt, the user's security context accumulated too many security IDs. This is an issue with the specific LDAP user object/account which should be investigated by the LDAP administrator.
49 / 701 ACCOUNT_EXPIRED Indicates an Active Directory (AD) AcceptSecurityContext data error that is a logon failure. The user's account has expired. Returns only when presented with valid username and password credential.
49 / 773 USER MUST RESET PASSWORD Indicates an Active Directory (AD) AcceptSecurityContext data error. The user's password must be changed before logging on the first time. Returns only when presented with valid user-name and password credential.

(at)Beatrix

Wie genau wurde diese Funktionalität umgesetzt ?!
Musste hierzu grundlegend etwas neu entwickelt werden, oder handelt es sich hierbei im Anpassungen von cfg-Dateien in Intrexx?

Wäre es möglich, mir hierfür nähere Infos zu geben? Gern auch PN!

Lg
07.10.2015 11:53 von ECKD_Kassel
CFG-Dateien reichen nicht, da der Login-Prozess etwas modifiziert werden muss und da die zugehörigen *vm-Dateien auch angepasst wurden.

Beatrix
08.10.2015 13:05 von Beatrix
Hallo zusammen,

als ich würde die Frage hier in 2 Bereiche gliedern...

Die Passwortrichtlinie zu berücksichtigen ist meines Erachtens relativ einfach, wenn man das Portal gegen das AD authentifiziert. Bedeutet, wenn ein User am AD authentifiziert wurde, dann zieht auch die Passwortrichtlinie.

Das andere Thema, also weitere "externe" Benutzerkonten bzw. abgelaufene Passwörter ist auch etwas, was uns hier trifft. Die Crux an abgelaufenen Passwörtern ist, dass man für die Änderung des Passworts unter Windows LDAPS benötigt, also eine funktionierende Zertifikatsstruktur innerhalb der Domain und einen Webservice, der das auch bietet.

Wir haben eine Enterprise CA am laufen und auch einen Exchange 201X Server - Durch die Outlook Web Access Oberfläche können wir Passwörter auch ändern lassen (eben via LDAPS). Wir haben das Problem also so umschifft, dass wir per OWA die Passwörter ändern können, danach kann der Benutzer wieder im Intrexx arbeiten. Vielleicht hilft der Weg attention Das ganze Thema wird ungleich schwieriger, wenn man mal mit dem Thema 2-Faktor in Berührung kommt - aber das ist was ganz anderes (wobei die Offload Systeme oder Reverse Proxies dann auch in der Lage sind, das Passwort im Windows selbst zu ändern)...

Thema "externe" Benutzerkonten. Ich könnte mir vorstellen (wirklich nur stochern in der Suppe!), dass man den Passwort Ändern Dialog anpacken kann und - im einfachsten Fall - einen RegEx Pattern onSubmit gegen das Eingabefeld laufen lässt.

Beispiel wäre hier sowas:
^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{2,10}$

Bedeutet: Passwort mit mindestens einer Ziffer, ein Zeichen Groß- und ein Zeichen Kleinschreibung, zwischen 2 und 10 Zeichen.

Ich bin mir aber nicht bewusst, ob es ein "Passworteingabefeld" bei Intrexx gibt, da ich nicht das Problem mit externen Benutzerkonten habe, sondern lediglich die Jammerei, dass man das Passwort nicht via INTREXX ändern kann.

Da wäre mir eine Lösung auch recht attention

VG
12.11.2015 17:47 von asapHO
Zurück | Alles über Intrexx | Impressum | Datenschutzerklärung

Über United Planet
© 2019 United Planet GmbH
Schnewlinstraße 2
79098 Freiburg