Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 4 subscribers
  • Views 779 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM AD Computer Object Passwort Erneuerung

MarkusWeber

Hallo

Bei einem Security Check hat sich gezeigt, dass das Computer Objekt Passwort der UTM nie erneuert wird. Wie kann das erreicht werden, dass regelmässig und automatisch das Passwort des Computer Objktes erneuert wird. Bei Windows Computer Objekten wird dies durch die Default Domain Policy gesetzt aber das interessiert Unix/Linux Objekte wohl nicht.

Vielen Dank für eure Unterstützung.

Markus



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Markus,

    ich bin mir auch ziemlich sicher, dass Gruppenrichtlinien ein Linux-System nicht interessieren.

    Da der AD domain password change für Geräte vom Client initiiert wird, muss das wohl im Clientsystem eingestellt werden.

    Verschieden Linux-Systeme haben da Möglichkeiten eingebaut (oder zumindest implementierbar)

    https://unix.stackexchange.com/questions/551199/sssd-not-rotating-its-ad-computer-account-password

    Da sichere AD-Mitgliedschaft aber offensichtlich für die Linux-Gemenide kein Fokus-Thema ist, scheint es auch keine gemeingültige/schlüssige Lösung zu geben.

    In der SG/UTM kenne ich keine Option für einen automatischen Password-Wechsel.

    Lediglich im GUI müsste beim erneuten Domain-join ein neues Kennwort verhandelt werden. Also evtl. nur organisatorisch zu lösen.

    PS: wofür nutzt ihr die Domänenmitgliedschaft? Soweit ich weiß, nützt sie nur bei browserbasierter User-Authentifizierung etwas..


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0

    Hallo Markus,

    ich bin mir auch ziemlich sicher, dass Gruppenrichtlinien ein Linux-System nicht interessieren.

    Da der AD domain password change für Geräte vom Client initiiert wird, muss das wohl im Clientsystem eingestellt werden.

    Verschieden Linux-Systeme haben da Möglichkeiten eingebaut (oder zumindest implementierbar)

    https://unix.stackexchange.com/questions/551199/sssd-not-rotating-its-ad-computer-account-password

    Da sichere AD-Mitgliedschaft aber offensichtlich für die Linux-Gemenide kein Fokus-Thema ist, scheint es auch keine gemeingültige/schlüssige Lösung zu geben.

    In der SG/UTM kenne ich keine Option für einen automatischen Password-Wechsel.

    Lediglich im GUI müsste beim erneuten Domain-join ein neues Kennwort verhandelt werden. Also evtl. nur organisatorisch zu lösen.

    PS: wofür nutzt ihr die Domänenmitgliedschaft? Soweit ich weiß, nützt sie nur bei browserbasierter User-Authentifizierung etwas..


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Hallo Dirk

    Vielen Dank für deine Hilfe. Den Beitrag mit dem sssd.conf hatte ich auch schon gefunden aber leider gibt es ein solches file bei der Sophos UTM Appliance nicht. Habe bereits ein offenes Ticket beim Sophos Support und hoffe, dass von da mal was brauchbares rüberkommt Disappointed

    Wir nutzen den Domain-Join tatsächlich für die browserbasierte User-Authentifizierung (SSO). Als Workaround habe ich die UTM mal aus der Domain entfernt und wieder eingebunden gehabt. Das hilft zwar, kann ich aber so nicht als Lösung ansehen, zumal wir aktuell etwa 40 UTMs im Einsatz haben Slight smile

    Wenn ich news habe, werde ich diese hier gerne wieder eintragen, evtl. hilft es ja dem einen oder anderen auch mal.

    Besten Dank und viele Grüsse

    Markus

  • 0 in reply to MarkusWeber

    Ich glaube nicht, dass es sich hier um einen "Fehler" handelt. Damit würde es auf wahrscheinlich einen Feature-request hinauslaufen

    ... und die werden für eine  UTM/SG nicht mehr groß abgearbeitet.

    Aber gern weitere Informationen hier bereitstellen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML