Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 12 replies
  • Answers 1 answer
  • Subscribers 28 subscribers
  • Views 22088 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Popup Passwort expired pls Change

RemoHehlert

Hallo werte Forengemeinde,

unsere Astaro ist mit AD verbunden so das alle VPN User über die AD verwaltet werden. Im AD ist das Ablaufdatum für das Passwort Zeitlich begrenzt so das der User alle X tage sein pwd ändern muss.

Welche Möglichkeit gibt es das ein VPN User beim Login eine Info bekommt "Passwort abgelaufen bitte ändern".

 

Vielen Dank im Voraus



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to RemoHehlert

    Hi Remo,

    eine Benachrichtigung über den VPN Client gibt das Client Design leider nicht her. Genauso wie ein Passwort change. Für eine einfache Benachrichtigung kannst du aber einfach eine GPO konfigurieren? Das ist relativ simpel umzusetzen.

    Hier nur ein Beispiel wie man das machen könnte.

    https://technet.microsoft.com/en-us/library/ee829687%28v=ws.10%29.aspx

    vg

    mod

  • 0 in reply to mod2402

    Hallo mod,

     

    herzlichen Dank für die Info.

    Leider kann ich diese Aussage nicht ganz nach vollziehen denn jede AD / LDAP Anbindung hat die Möglichkeit die Info Password Exired darzustellen.

    Selbst ein Ubuntu mit SSSD bringt die via SSH Login auf der Shell zu Vorschein. Warum also nicht diese Info auch am VPN Client darstellen.

    Die GPO kommt für uns nicht in Frage denn die Personen die sich bei uns via VPN anmelden haben alle Möglichen OS Versionen und sind nicht direkt mit unsere AD oder LDAP verbunden! Wir haben über 250 User von Fremdfirmen die sich via VPN Einwählen und genau diese benötigen die Möglichkeit vorablauf wenigstens diese Info zu bekommen "Achtung Password läuft ab".

    Wir haben sehr viel Geld für Sohos investiert und bis auf diese Sache ist das auch eine gute Investition gewesen. :-)

    Besten Dank im Voraus

    MfG

  • 0 in reply to RemoHehlert

    Hi Remo,

    die Info Password expired bedeutet dass das Passwort schon abgelaufen ist. Grundsätzlich gebe ich dir aber Recht. Es wäre schon von Vorteil wenn der Client eine Vorabwarnung zurück geben könnte die darauf hinweist dass das Passwort in kürze abläuft. Das kann man auf Windows Basis grundsätzlich über eine GPO mit Windows Boardmitteln umsetzen.

    In deinem Fall hast du aber keine verwalteten Clients, nur die Benutzer werden gegen das AD authentifiziert. Ich vermute das der AD Account auch nur für die VPN Einwahl verwendet wird.

    Das ist ein echtes Problem. Bei solchen Szenarien empfehle ich mittlerweile für solche Zugänge anstatt eines Passwortwechsels im AD die OnBoard OTP Funktion der UTM zu nutzen.

    Wenn du ein relativ aktuelles AD besitzt kannst du Passwort Policys auf OU Ebene anwenden. Für diese Fremdfirmen könnte man statische AD Passwörter vergeben und dann für diese Accounts / Gruppen OTP Profile generieren. Die Sophos OTP App für Smartphones ist kostenlos und ganz simpel über QR Code zu konfigurieren. Wer kein Smartphone besitzt kann auch Windows- / Google Authenticater verwenden.

    Damit bekommst du zusätzliche Sicherheit und das ganze ist dann quasi unabhängig vom AD. (Ausnahme Account wird gesperrt)

    Natürlich könntest du hier auch mit lokalen Accounts auf der UTM selber arbeiten.

    Wenn du aber zwingend eine Benachrichtigung und die Möglichkeit das AD Passwort über den VPN Client wechseln zu können benötigst, wirst du auf ein anderes SSL VPN Szenario umsteigen müssen. Ich kenne nur einen SSL VPN Client wo das möglich sein SOLL. Das ist der Cisco Anyconnect. Der kostet dann aber auch wieder extra und du brauchst natürlich auch die passende Gegenstelle.

    vg

    mod