Die Sperrung des Benutzerkontos erfolgt automatisch, wenn dreimal ein falsches Passwort eingegeben wurde. Das Konto wird aber automatisch nach 5 Minuten wieder entsperrt. Wer nicht warten möchte, kann sich aber auch an seinen Fachgruppen-Admin oder die Rechnerbetreuung wenden, die das Konto sofort entsperren können.

Wenn das Anmelden an einem Windows Rechner funktioniert, aber danach nicht auf die Homeverzeichnisse oder Benutzerprofile zugegriffen werden kann, kann dies mehrere Ursachen haben:

1. Der Rechner kann aus irgendeinem Grund nicht auf den SAMBA Server zugreifen.
2. Das Konto wird beim Anmelden an dem Rechner automatisch gesperrt.

In beiden Fällen kann das Problem nur durch einen Fachgruppen-Admin oder die Rechnerbetreuung beseitigt werden.

Hierfür gibt es mehrere Ursachen:

1. Im Profil ist eine Netzwerkverbindung gespeichert, die mit einem falschen Passwort versucht, diese beim Anmelden wieder aufzubauen. Dadurch wird dieses falsche Passwort an den Windows Server gesendet, der das Konto daraufhin sperrt.
2. Es besteht irgendwo auf einem anderen Rechner noch eine alte Verbindung zu einem Netzwerkverzeichnis. Wenn diese Verbindung älter als sieben Tage ist, sind die benutzten Kerberos Tickets abgelaufen und das Konto wird ebenfalls automatisch gesperrt, sobald die Netzwerkverbindung irgendwie aktiviert wird. Dies ist bei langläufigen Prozessen häufig der Fall, die versuchen Ergebniss- oder Log-Dateien auf Netzwerklaufwerken zu schreiben. Programme die länger als sieben Tage aktiv sind, sollten deshalb vermieden werden.
3. Der Rechner wurde nicht ordnungsgemäß heruntergefahren oder neu gestartet. Anscheinend kann dann der MIT Kerberos Client seinen Kerberos Ticket Cache nicht leeren, so dass er alte Tickets für die Anmeldung verwendet, was zur Sperrung des Benutzerkontos führt. Hier hilft nur eine Neuinstallation des MIT Kerberos Clients.

Generell sollte man beachten, dass man sich immer ausloggen sollte, wenn man die Arbeit beendet und nach Hause geht. Dann sollten eigentlich keine Probleme auftreten.

Sofern ein Notebook in der Windows Domäne HNI.UNI-PADERBORN.DE ist, kann man problemlos auf alle Ressourcen des HNI zugreifen. Externe Notebooks fehlen aber die entsprechenden Konfigurationen, so dass die Authorisierung für den Zugriff auf die Ressourcen nicht funktioniert. Selbst wenn die entsprechenden Einstellungen manuell eingefügt wurden, verhindert ein Fehler in der Implementierung von Microsoft, dass die Authorisierung richtig funktioniert. Microsoft selber hat dafür bis jetzt leider noch keine Lösung anbieten können.

Unter Linux kann man, nach der entsprechenden Konfiguration der Clients, übrigens problemlos auf alle Ressourcen zugreifen.

Kerberos ist ein Protokoll zur Authentisierung und Autorisierung. Im Gegensatz zu den üblichen Verfahren, bei dem das Passwort immer zu den Servern über das Netzwerk gesendet werden muss, arbeitet der Authentisierungsmechanismus lokal auf dem Rechner, auf dem sich der Benutzer anmelden möchte oder von dem aus er Ressourcen anfordert.

Dazu werden sogenannte Tickets verwendet, die von einem zentralen Server, dem Kerberos Server, ausgestellt und verschlüsselt an den anfragenden Client gesendet werden. Die Entschlüsselung dieser Tickets geschieht dann auf dem lokalen Rechner.

Mit Hilfe von Kerberos kann auch ein Single Sign-On ermöglicht werden, sofern die verwendeten Applikationen dies unterstützen. Da die Tickets universell einsetzbar sind und Dienste ebenfalls Tickets benutzen können, ist es möglich, dass das Ticket des Benutzers für die Autorisierung gegenüber dem Dienst und umgekhert genutzt wird. Eine Verschlüsselung der Kommunikation kann ebenfalls stattfinden.

Mehr Informationen zu dem Thema sind unter web.mit.edu/kerberos/ zu finden.

Nicht Kerberos macht die Probleme, sondern die Anwendungen, die Kerberos nicht richtig unterstützen.

Windows zum Beispiel kennt zwei gleichberechtigte Authentisierungsprotokolle: NTLM (NT Lan Manager) und Kerberos. Bei NTLM muss noch zwischen zwei Versionen unterschieden werden: Version 1, welche die Passwörter im Klartext sendet und NTLMv2, welche einen Hashwert der Passwörter verwendet.

Das bevorzugte Protokoll ist laut Microsoft aber Kerberos. Allerdings mussten wir feststellen, dass dies nur in Teilbereichen zutrifft, so dass Windows immer dort, wo Kerberos nicht funktioniert, auf NTLM zurück fällt (und nicht immer NTLMv2).

In diesem Fall muss ein lokales Passwort in der Domäne HNI.UNI-PADERBORN.DE gesetzt werden. Damit ist sichergestellt, dass Windows und alle Dienste wieder NTLM benutzen können, sofern es notwendig ist.

Auf dem Rechner names hni-pwm. Dort existiert unter Start/Programme/HNI-PasswortManager ändern für die Domäne HNIRB ein Menupunkt, mit dem das Passwort in der Domäne zurück gesetzt werden kann.

Windows benutzt das Passwort des Benutzers an den unterschiedlichsten Stellen (z. B. beim Einsatz des Encrypted File System EFS, um die Partitionen zu verschlüsseln). Da das Passwort nur zurück gesetzt und nicht geändert wird, wird die Änderung an diesen Stellen nicht durchgeführt. Mit EFS geschützte Partitionen können dann nicht mehr genutzt werden und die Daten sind verloren.