RDP-Client mit Kerberos Unterstützung

xcvb

Well-Known Member
Hallo zusammen,

TL;DR
Ich suche einen RDP-Client mit guter Kerberos-Unterstützung.

Ich muss mich mit einem Protected User (Windows) an einem Windows-Server anmelden.
Versucht habe ich es bereits mit FreeRDP und rdesktop. Beide funktionieren nicht.
Zunächst hole ich mir mit 'kinit' ein Kerberos-Ticket, prüfe den Erfolg mit 'klist'. Soweit alles okay.
Aber dann....

Code:
$ xfreerdp /d:mydomain /u:myuser /v:myserver
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_connect:freerdp_set_last_error_ex resetting error state
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx rdpdr
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx rdpsnd
[10:50:01:060] [1094:02c12500] [INFO][com.freerdp.client.common.cmdline] - loading channelEx cliprdr
[10:50:01:370] [1094:02c12500] [INFO][com.freerdp.primitives] - primitives autodetect, using optimized
[10:50:01:373] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_tcp_is_hostname_resolvable:freerdp_set_last_error_ex resetting error state
[10:50:01:374] [1094:02c12500] [INFO][com.freerdp.core] - freerdp_tcp_connect:freerdp_set_last_error_ex resetting error state
[10:50:01:387] [1094:02c12500] [WARN][com.freerdp.crypto] - Certificate verification failure 'self signed certificate (18)' at stack position 0
[10:50:01:387] [1094:02c12500] [WARN][com.freerdp.crypto] - CN = myserver
Password: 
[10:50:06:096] [1094:02c12500] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_ACCOUNT_RESTRICTION [0x00020017]
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[10:50:06:096] [1094:02c12500] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1

Im Windows Event-Log steht dazu u.a folgendes:

Code:
Fehler beim Anmelden eines Kontos.

......

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Man sieht ja gut, das freeRDP hier anscheinend nicht mal versucht wurde sich über Kerberos zu authentifizieren. Dazu habe ich ein passendes 'Issue' auf Github gefunden, dort das gleiche Problem.....

Hat jemand einen Rat? Mit einen Windows-Client (RDP) klappt das natürlich, aber wir wollen auf dieser Maschine eigentlich kein Windows laufen lassen....
 
Schonmal mit Remmina probiert? Zumindest am Papier sollte er es können, ich selbst habs noch nie probiert, aber Remmina ist mein rdp Client der Wahl.
 
Schonmal mit Remmina probiert? Zumindest am Papier sollte er es können, ich selbst habs noch nie probiert, aber Remmina ist mein rdp Client der Wahl.
Ja, jetzt habe ich auch Remmina probiert, aber auch hier das gleiche Spiel mit den gleichen Meldungen im Windows Event-Log. Und wieder beim Verbinden dieser Fehler:

Code:
SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server

Oder muss ich das Kerberos-Ticket noch irgendwie mit dem RDP-Client "verheiraten"? Aber ich meinte gelesen zu haben, dass der Client das automatisch erkennt und dann von sich aus Kerberos-Auth versucht.
 
Anhand der Fehlermeldung würde ich sagen, dass auf dem Server da noch wo ein Häkchen rein muss.

Ich kann dir jetzt nur nicht raten, wo. Über kerberos weiß ich gar nix, SPNEGO und NTSTATUS könnten auch auf die erlaubte Protokollversion von rdp hinweisen.
Einfach mal die Sicherheit (testweise!) runterdrehen und Fehlermeldungen vergleichen.
 
Einfach mal die Sicherheit (testweise!) runterdrehen und Fehlermeldungen vergleichen.
Ja, kann ich machen, dann wird's auch funktionieren mich per RDP zu verbinden. Aber die Anforderung ist nun mal mich mit einem Windows Protected User anzumelden und für diese User gelten bestimmte Restriktionen, u. a. ist dann die Authentifizierung über NTLM untersagt.
 
SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
Indicates a referenced user name and authentication information are valid, but some user account restriction has prevented successful authentication (such as time-of-day restrictions).

Die Authentifizierung an sich ist also gültig.
 
Vielleicht weil die Anmeldedaten korrekt sind? Kein Plan, ich guck mal weiter, was ich hier noch machen könnte.
 
ERRCONNECT_ACCOUNT_RESTRICTION könnte ein Hinweis, aber kein Beweis sein, dass der Nutzer keine Remotedesktopberechtigung hat. Im einfachsten Fall muss er dafür in der entsprechenden Gruppe sein, wie alle unter Windows kann man es es aber unendlich verkomplizieren.
 
Was für ein Windows-Server ist das denn? Ich habe hier xfreerdp mit einem Windows Server 2019 ohne Probleme im Einsatz. Auch wenn der Server in einer Domäne steht, muss ich diese beim Anmelden nicht mitgeben.

Edit: ... wer lesen kann. Ich nutze es ohne Kerberos. Sorry for the noise
 
ERRCONNECT_ACCOUNT_RESTRICTION könnte ein Hinweis, aber kein Beweis sein, dass der Nutzer keine Remotedesktopberechtigung hat. Im einfachsten Fall muss er dafür in der entsprechenden Gruppe sein, wie alle unter Windows kann man es es aber unendlich verkomplizieren.
Der Benutzer hat die Rechte, es funktioniert ja mit dem RDP-Client von Windows. Ein erfolgreicher Anmeldeversuch für einen Protected User sieht dann im Windows Event-Log so aus:

Code:
Ein Konto wurde erfolgreich angemeldet.

......

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Kerberos
    Authentifizierungspaket:    Kerberos
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0
 
Vielleicht irgendwas mit Rechten auf dem Kerberos-Ticket, das ist allerdings geraten und hilft dir im Zweifel nicht. Kurz um, ich weiß es nicht.
 
Zurück
Oben