UltraVnc Authentisierung

Driver | MS-Logon | Encryption | Chat | File Transfer | Java Viewer

Z.Z. gibt es drei verschiedene Authentisierungsmethoden, die für UltraVNC vorhanden sind:

• Klassische VNC Authentisierung
• Frau-LOGON I
• Frau-LOGON II

Klassische VNC Authentisierung speichert ein Kennwort auf dem Ferngerät. Beim Anschließen an den Projektor, muss dieses Kennwort eingeführt werden.

 

Beide Frau-LOGON Methoden beruhen auf Microsoft Windows-LOGON-Authentisierung, wird d.h. username und Kennwort eines Windows-Gebiets- oder Maschinenkontos für Authentisierung verwendet.

 

Frau-LOGON I schränkt die Benutzerkonten ein, um im gleichen Gebiet als das Maschinenkonto zu sein, aber ist auf Windows 9x vorhanden.
Frau-LOGON II lässt Kreuzgebiet Authentisierung zu, aber arbeitet nur an Windows NT, 2000, XP und 2003.

Klassische VNC Authentisierung

Getan zu werden Unterlagen.

Frau-LOGON I

Mit UltraVNC kann der WinVNC Bedienerzugang using die Mitgliedstaat-Benutzer, Gebiete und Gruppen gehandhabt werden, die von der Maschine vorhanden sind, die diesen WinVNC Bediener bewirtet. Z.Z. werden NT-Gebiete und aktive Verzeichnisse gestützt. Kindgebiete werden NICHT, Benutzer muss dem Gebiet des Bedieners gehören gestützt.

Recht - die WinVNC Ikone im Systems-Behälter anklicken und „Admin-Eigenschaften“ wählen.

In der Überprüfung der Admin-Eigenschaftenseite „Frau-LOGON erfordern“.

Dann klicken an „zusammenbauen Mitgliedstaat-LOGON-Gruppen“.
Hier können Sie Benutzer und Gruppen addieren oder entfernen oder ihre Rechte ändern.

Einige Sachen müssen bekannt und zusammengebaut werden, wenn Sie diese Funktionalität auf Ihrer WinVNC Bedienermaschine sein wünschen, und sie hängt von der Version von Windows ab, das verwendet wird.

Um Mitgliedstaat-LOGON unter Windows 95 zu verwenden, Windows 98 und Windows- Millenniumausgabe, müssen Sie den NTLM Sicherheitsdiensten auch ermöglichen indem Sie Kontrollbereich, Netz, Zugriffskontrolle und von User-level Zugriffskontrolle dann vorwählen öffnen. Gewinn 9.x erfordern 2 dlls radmin32.dll und rlocal32.dll dieses kann im nexus.exe gefunden werden.

Unter Windows Xp wird der ForceGuest Registerwert bis 1 durch Rückstellung im Folgenden Registerschlüssel eingestellt:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ LSA

Auf einem Windows- Xpcomputer müssen Sie überprüfen:
Wenn das Gastkonto ermöglicht wird, folgt ein SSPI LOGON als Gast für alle mögliche Benutzerbescheinigungen.
Wenn ForceGuest (bis 0 einstellen), untauglich ist, meldet SSPI als der spezifizierte Benutzer an.
Wenn der authtest util Gast gesperrt berichtet, wird ein geöffnetes Gastkonto ermittelt und Frau-LOGON verweigert allen Zugang.

Frau-LOGON II

Beschreibung

Zusätzlich zur ersten Implementierung von Frau-LOGON (Frau-LOGON I), Frau-LOGON II ist in der Lage, Kreuzgebiet Authentisierung zu tun, d.h. kann das Benutzerkonto in einem anderen Gebiet als das Computerkonto sein.

Unterstützungen

• Windows NT, Windows 2000, Windows Xp und Windows 2003.
• Irgendeine mögliche Verschachtelung der Gruppen und der Benutzer.
• Verschiedene nennenarten:
  • Gebiet \ Benutzer
  • user@domain.com (UPN, d.h. Benutzer-Hauptname)

Anforderungen

• Auf Windows Nt4 benötigen Sie mindestens SP4 und den angebrachten Sicherheitskonfigurationsmanager.
• Unter Windows Xp wird der ForceGuest Registerwert bis 1 durch Rückstellung im Folgenden Registerschlüssel eingestellt:
  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ LSA
  Wenn das Gastkonto ermöglicht wird, folgt ein SSPI LOGON als Gast für alle mögliche Benutzerbescheinigungen.
  Wenn ForceGuest (bis 0 einstellen), untauglich ist, meldet SSPI als der spezifizierte Benutzer an.
  So ist es wichtig, ForceGuest zu sperren. Andernfalls ist alle Ermächtigung gegen das Gastkonto erfolgt!
• Politik-Einstellungen: Authentisierung fällt aus, wenn „LOGON zum Computer vom Netz verweigern“ wird ermöglicht für eine Gruppe, die das LOGON-Konto ein Mitglied von ist. Dieses trifft auf beide lokalen Politik-Einstellungen sowie Gruppen-Politik-Gegenstände zu.
  So sicherstellen, dass die Benutzerkonten, die für Mitgliedstaat-LOGON-Authentisierung verwendet werden, nicht durch diese Einstellungen beeinflußt werden.

Konfiguration

Manuelle Konfiguration

Recht - die WinVNC Ikone im Systems-Behälter anklicken und „Admin-Eigenschaften“ wählen.

 

In der Überprüfung der Admin-Eigenschaftenseite „Frau-LOGON“ und „neuen Frau-LOGON“ erfordern.

 

Dann klicken an „zusammenbauen Mitgliedstaat-LOGON-Gruppen“.
Hier können Sie Benutzer und Gruppen addieren oder entfernen oder ihre Rechte ändern.

 

Ist der normale Modus wechselwirkend, wo Sie Maus und Tastatur übernehmen können. Es ist ein Synonym für volle Kontrolle.

Ansicht lässt nur das Konto den Fernschirm ansehen, aber lokale Maus und Tastatur können den Fernschirm nicht steuern.

Automatisierte Konfiguration

Sie können das MSLogonACL Werkzeug benutzen, um den ACL von einer Maschine zu exportieren und es zu anderen zu importieren.

Zu geprüft werden

Da MSLogon II verhältnismäßig neu ist und es verschiedene verschiedene Drehbücher gibt, wie man es, wir anregen jeder, ihre Erfahrung zu teilen verwendet. Ihre Resultate zum UltraVNC Frau-LOGON Forum bitte bekannt geben.
Es gibt einige Faktoren, die betrachtet werden sollen: Verschiedene OS-Versionen, wenn aktives Verzeichnis oder im alten Stil NT-Konzerne, ob Einheimisches oder Gebiet gegründete Konten verwendet werden, die Benennungversammlung benutzt wird, die und verschiedene mögliche Verschachtelung der Gruppen verwendet wird.

OS

WinNT, W2K, wXP, W2K3

Infrastruktur

Mit/ohne aktives Verzeichnis

Konten

Einheimisch- und/oder Gebietsbenutzer/Gruppen

Benennung von Arten

Benutzer, Maschine \ Benutzer, Gebiet \ Benutzer, user@domain.com (UPN), Gruppe, Gebiet \ Gruppe

Gebiete

(deutet trusts/AD) an, Benutzer und/oder Gruppe in anderen Gebieten als Computer, genistete Gruppen über mehrfachen Gebieten

Bekannte Wanzen (nicht noch repariert)

• Störungsbericht/verbessert zu werden Entstörung

Geschichte

31. 01. 2005

Verlegenheit: In der Plattformabfragung ändern, um security.dll oder secur32.dll zu benennen.
Jetzt ist keine Plattformabfragung an allen (scheint, zu Probleme auf NT4SP6a zu führen), erfolgt, stattdessen wird secur32.dll benannt. Wenn der Anruf nicht erfolgreich ist, wird security.dll benannt.

10. 12. 2004

Verlegenheit: Bestimmte Kennwörter (z.B. Abc0DefG) führen zu Authentisierungsausfall.
(http://forum.ultravnc.net/viewtopic.php?t=803) sehen

08. 12. 2004

Verlegenheit: Geändertes authSSP.dll zu Unicode, zum ausgedehnte Putzfrauen (ä, ö, ü, ç, ß etc.) in den Kennwörtern zuzulassen.
(http://forum.ultravnc.net/viewtopic.php?t=1259) sehen

29. 10. 2004

Verlegenheit: Benutzernamen mit Raumausfallen, zum mit MSLogonACL Werkzeug zu laden.
(http://forum.ultravnc.net/viewtopic.php?t=1046&highlight=#4025) sehen

07. 10. 2004

Geänderte Liste der Gruppen zu einem realen ACL.
Geändertes UI zur Sicherheitsseite.
Zusätzliches Import-/Exportwerkzeug für ACL.

20. 08. 2004

Verlegenheit: In der Plattformabfragung ändern, um security.dll anstelle von secur32.dll auf NT 4. zu benennen.

04. 08. 2004

Ermächtigung benutzt jetzt Zugangsüberprüfung mit Sicherheits-Beschreiber und Zugangs-Zeichen.
Nur ein Windows-LOGON-Versuch wird, Authentisierung und Ermächtigung zu prüfen angefordert.

25. 06. 2004

Erster Versuch.

MSLogonACL für UltraVNC

Was ist MSLogonACL?

Der Zweck MSLogonACL ist, automatisierte UltraVNC Installationen einschließlich Zugriffsrechtkonfiguration für Frau-LOGON II. zuzulassen.

Mit der neuen Frau-LOGON Funktionalität in UltraVNC, werden die Zugriffsrechte in einem ACL (Access Control List) gespeichert. Dieses ist eine binäre Struktur, die eine Liste von SIDs (Sicherheitsbezeichner) zusammen mit der Beschreibung hält, die Rechte zu jedem SID bewilligt oder verweigert werden.

Der ACL kann über die VNC Eigenschaftenseite redigiert werden. Um automatisierte VNC Installationen zuzulassen wird eine Methode für die Konfiguration des ACL von der Befehlszeile angefordert. Dieses ist der Zweck MSLogonACL.

Export eines ACL

MSLogonACL /e Akte für das Exportieren in Akte.

Wenn Akte ausgelassen wird, werden die Sicherheitseinstellungen zur Konsole (stdout) gedruckt.
Die Linien, die mit == anfangen, sind ausprüfen Informationen über stderr.

Import eines ACL

MSLogonACL /i /a Akte für die Befestigung ACEs zum gegenwärtigen ACL oder
MSLogonACL /i /o Akte für das Überschreiben des gegenwärtigen ACL
Ablesen der Sicherheitskonfiguration von der Akte.

Format der Konfigurationsakte

Gebiet 0x3 \ Konto erlauben
oder
Gebiet 0x3 \ Konto verweigern

0x1 ist nur Ansicht, 0x3 ist wechselwirkend und deutet an, dass Sie den Fernschreibtisch auch ansehen können.

Gebiet kann eine Computerbezeichnung oder der Name eines Gebietes sein.
Wenn Gebiet nicht (wie Konto 0x3 verweigern), spezifiziert wird, versucht Windows, den Kontonamen an ein Einheimisches oder ein Gebietskonto anzupassen.
Es wird nicht empfohlen, um das Gebietsteil auszulassen, da dieses zu unerwartete Resultate führen kann.

Konto kann Gruppenname oder username sein.

Wenn der Kontoname Räume enthält, soll der Gebiets- \ Kontoausdruck in den Anführungszeichen eingeschlossen werden:
0x3 „Gebiet \ Konto“ erlauben
Selbst wenn der Kontoname nicht Räume enthält, verletzen Anführungszeichen nicht.

MSLogonACL hat zwei Abkürzungen für spezielle Gebiete:
ein Punkt, zum der Computerbezeichnung und zwei Punkte zu bezeichnen, um das Gebiet des Computers zu bezeichnen:
. \ ein lokales Konto auf dem Computer erklären
oder
. \ ein Konto im Gebiet des Computers erklären.