Re: Pipes & security

From

Alex Fedotov ()

To

Alex Martinov

Date

2001-05-16T08:37:06Z

Area

SU.WINDOWS.NT.PROG

From: "Alex Fedotov" <alexf@3cube.com>

Alex Martinov wrote:

>  >> И имеем результат такой, что с машины с 2000 виндой клиент
>  >> подключается к сервису на НТ4 нормально, при коннекте с НТ4 на 2000
>  >> получаю ошибку 1325 (вроде
>  >> бы точно не помню, на 13 начинается, если принципиально, то уточню)
> 1326

That makes sense. 1326 = ERROR_LOGON_FAILURE, "Invalid user name or
password".

А машины в одном домене или как? Я так подозреваю, что нет. В таком случае
скорее всего происходит следующее:

Пусть машина сервера называется SERVER, а машина клиента -- CLIENT. Клиент
вошел в систему под локальной учетной записью, скажем, CLIENT\Alice. Когда
клиент присоединяется к серверу, сервер пытается аутентифицировать эту
учетную запись. Здесь возможны два случая:

1. На сервере тоже есть учетная запись с именем Alice, но с другим паролем.
Очевидно, аутентификация в таком случае не пройдет и клиент получит
ERROR_LOGON_FAILURE.

2. На сервере нет такой учетной записи. В таком случае NTLM SSP пытается
осуществить логон под локальной гостевой учетной записью -- SERVER\Guest.
Если эта учетная запись запрещена (а в Win2K она по умолчанию запрещена в
отличие от NT 4), то клиент получит все тот же код ошибки
ERROR_LOGON_FAILURE.

Хорошим источником информации для отладки подобных ситуаций является
security audit. Рекомендую включить аудит logon/logoff events на сервере и
посмотреть что реально там происходит.

--
Alex Fedotov


--- ifmail v.2.15dev5
 * Origin: 3Cube, Inc. (www.3cube.com) (2:5020/400)