DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- From: Tronex <Tronex@xxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Wed, 20 Apr 2005 00:00:02 -0700
Hallo,
ich versuche seit Tagen OpenSSH auf einem Windows Server 2003 zum Laufen zu
bekommen (mit Public Key Authentication). Leider bin ich da auch wirklich
seltsame Probleme gestossen...
So schaut die Infrastructur aus:
2 Server, zusammen bilden die eine AD Domäne ab. Auf beiden läuft DNS,
Active Directory; beide sind als Domänencontroller konfiguriert und arbeiten
wunderbar zusammen.
Jetzt versuche ich OpenSSH auf beiden zum Laufen zu bekommen. Dabei habe ich
herausgefunden, dass der Local System Account unter Windows Server 2003 nicht
mehr das Recht hat, Token zu erstellen oder einen Process Level Token zu
ersetzen. Nach mehreren Stunden der Recherche bin ich darauf gekommen, dass
es für Windows Server 2003 notwendig ist, einen Benutzeraccount anzulegen,
den in die Administratorengruppe zu legen und folgende Rechte zu vergeben:
- Create a token object
- Replace a process level token
- Log on as a service
Er braucht noch das Recht "Adjust memory quotas for a process", aber als
Mitglied der Administratorengruppe hat er dies bereits.
Sobald ich das erledigt habe (entweder lokal über das Tool editrights,
welches in der Cygwin Umgebung dabei ist, oder via GPO) funktioniert die
Public Key Authentication über OpenSSH.
Wenn ich nun aber den Server neu starte, funktioniert gar nichts mehr. Die
Domäne kann nicht gefunden werden, das DNS Snapin startet nicht, das
Bearbeiten von GPOs geht nicht, da die GPMC ebenfalls nicht gestartet werden
kann, etc, pp...
Zunächst dachte ich, es sei ein Problem mit der Reihenfolge der angewandten
GPOs, da unsere GPO zuerst zieht und damit die Benutzer, die in den o.g.
Rechten bereits drinstehen (NETWORK SERVICE, etc...) in unsere GPO natürlich
auch stehen müssen (sonst würden sie durch unsere GPO ja überschrieben).
Daran scheints aber nicht zu liegen, denn ich habe die Default Domain
Controller Policy in diesen Rechten in unserer GPO mit abgebildet und alles
schaut bunt aus.
Wenn ich die Rechte lokal anpasse mit editrights taucht das gleiche Problem
auf. Und das bereits wenn ich dem OpenSSH Benutzer folgendes Recht verpasse:
SeCreateTokenPrivilege
Das ganze ergibt keinen Sinn und ich habe absolut keine Ahnung, woran das
liegt. Wenn hier jemand mehr weiss, würde ich mich über jegliche
Unterstützung freuen!
Gruß,
Christian
.
- Follow-Ups:
- Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- From: Thorsten Kampe
- Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- Prev by Date: Sicherheitsrisiken durch aktive Konsolensitzung am Server
- Next by Date: Re: SBS Serververwaltung.
- Previous by thread: Sicherheitsrisiken durch aktive Konsolensitzung am Server
- Next by thread: Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- Index(es):
Relevant Pages
|
