Client distant via OpenVPN vs. problème de mot de passe expiré.

Le
Glenn Gagné
Bonjour,

Je me trouve dans une situation assez bizarre et je ne trouve pas de
solution.



Voici le contexte:

J'ai un réseau local avec un serveur Windows 2003, j'ai des postes clients
sur ce réseau et un VPN pour me connecter à distance lorsqu'un usager
possédant un portable est à l'extérieur veut consulter les données partagées
sur le réseau local.

Dans la situation présente, j'ai une règle de stratégie sur le serveur pour
que les mots de passe des utilisateurs soient changés à tous les 60 jours.
J'ai un utilisateur (que l'on nommera "toto" pour l'exemple) qui utilise un
ordinateur de bureau localement et également un ordinateur portable qui se
trouve dans un autre bâtiment.

Dernièrement, le serveur lui a demandé de changer son mot de passe, ce qu'il
a fait depuis le poste installé localement sans problème.

Un peu plus tard, il s'est retrouvé devant son portable dans l'emplacement
distant, il a essayé d'ouvrir une session évidemment le mot de passe
récemment changé lui a été refusé car le portable est hors réseau et
contient en mémoire l'ancien mot de passe, il a re-tenté avec l'ancien mot
de passe et ça l'a fonctionné sans problème (et c'est normal puisque Windows
tente toujours d'utiliser le même mot de passe même si les 60 jours sont
écoulés s'il n'entre pas en communication avec l'AD.). Rien ne l'empêchait
de travailler sur le portable

Ensuite, il a lancé OpenVPN client pour se connecter sur le réseau local. La
connexion s'est faite sans problème car OpenVPN est indépendant de tout ça,
mais là il ne pouvait évidemment plus accéder aux partages sur le serveur
Windows car son compte ne possède pas le bon mot de passe .!!!!

En essayant à plusieurs reprises d'accéder aux ressources partagées du
domaine Windows, le compte "toto" s'est verrouillé sur le serveur Windows
2003. Ce n'empêchait toujours pas l'utilisateut de travailler sur le
portable, mais lorsqu'il est revenu au bureau, oui !



Alors je me demande s'il est possible de lancer une procédure "du genre, de
challenge" au client Windows 2000/XP lorsqu'il se connecte au serveur
Windows 2003 afin de mettre à jour sa SAM (registre) afin de récupérer la
nouvelle version des mots de passe ?

Évidemment ce ne doit pas être possible de le faire si le compte ne possède
pas le bon mot de passe, c'est comme si un hacker tenterais de récupérer le
mot de passe du serveur en se connectant avec un mot de passe non valide.

Sur tous les postes clients j'ai toujours un compte administratif de
configuré, si j'ouvre une session sur le poste distant (portable) avec mon
compte administrateur et ensuite ouvrir un canal VPN entre celui-ci et le
serveur, est-ce possible de faire récupérer la mise à joru des mots de passe
des comptes configurés sur ce portable ?

Je cherche et je ne trouve pas

Pour le moment, le seul moyen que j'ai est de rapporter le portable au
bureau (local) de le brancher directement sur le réseau local et à ce moment
le client entre en communication avec le serveur avant d'ouvrir la session
et peut récupérer la mise à jour de la SAM.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #698951
"Glenn Gagné"
Bonjour,

Je me trouve dans une situation assez bizarre et je ne trouve pas de
solution.

------------------------------------

Voici le contexte:

J'ai un réseau local avec un serveur Windows 2003, j'ai des postes clients
sur ce réseau et un VPN pour me connecter à distance lorsqu'un usager
possédant un portable est à l'extérieur veut consulter les données
partagées
sur le réseau local.

Dans la situation présente, j'ai une règle de stratégie sur le serveur
pour
que les mots de passe des utilisateurs soient changés à tous les 60 jours.
J'ai un utilisateur (que l'on nommera "toto" pour l'exemple) qui utilise
un
ordinateur de bureau localement et également un ordinateur portable qui se
trouve dans un autre bâtiment.

Dernièrement, le serveur lui a demandé de changer son mot de passe, ce
qu'il
a fait depuis le poste installé localement sans problème.

Un peu plus tard, il s'est retrouvé devant son portable dans l'emplacement
distant, il a essayé d'ouvrir une session... évidemment le mot de passe
récemment changé lui a été refusé car le portable est hors réseau et
contient en mémoire l'ancien mot de passe, il a re-tenté avec l'ancien mot
de passe et ça l'a fonctionné sans problème (et c'est normal puisque
Windows
tente toujours d'utiliser le même mot de passe même si les 60 jours sont
écoulés s'il n'entre pas en communication avec l'AD.). Rien ne l'empêchait
de travailler sur le portable

Ensuite, il a lancé OpenVPN client pour se connecter sur le réseau local.
La
connexion s'est faite sans problème car OpenVPN est indépendant de tout
ça,
mais là il ne pouvait évidemment plus accéder aux partages sur le serveur
Windows car son compte ne possède pas le bon mot de passe ....!!!!

En essayant à plusieurs reprises d'accéder aux ressources partagées du
domaine Windows, le compte "toto" s'est verrouillé sur le serveur Windows
2003. Ce n'empêchait toujours pas l'utilisateut de travailler sur le
portable, mais lorsqu'il est revenu au bureau, oui !

---------------------------------

Alors je me demande s'il est possible de lancer une procédure "du genre,
de
challenge" au client Windows 2000/XP lorsqu'il se connecte au serveur
Windows 2003 afin de mettre à jour sa SAM (registre) afin de récupérer la
nouvelle version des mots de passe ?

Évidemment ce ne doit pas être possible de le faire si le compte ne
possède
pas le bon mot de passe, c'est comme si un hacker tenterais de récupérer
le
mot de passe du serveur en se connectant avec un mot de passe non valide.

Sur tous les postes clients j'ai toujours un compte administratif de
configuré, si j'ouvre une session sur le poste distant (portable) avec mon
compte administrateur et ensuite ouvrir un canal VPN entre celui-ci et le
serveur, est-ce possible de faire récupérer la mise à joru des mots de
passe
des comptes configurés sur ce portable ?

Je cherche et je ne trouve pas...

Pour le moment, le seul moyen que j'ai est de rapporter le portable au
bureau (local) de le brancher directement sur le réseau local et à ce
moment
le client entre en communication avec le serveur avant d'ouvrir la session
et peut récupérer la mise à jour de la SAM.


Vous devriez utiliser un client VPN qui se connecte au VPN avant l'ouverture

de session. Ce type de connexion L2TP/IPSec ou PPTP peut être créée
manuellement via l'assistant de connexion ou mieux : par le CMAK.

Dans votre cas : avez vous essayez de changer votre mot de passe (par Ctrl +
Alt + Suppr) lorsque vous êtes connectés en VPN (donc avec une session
ouverte avec vos crédits conservés en cache) ?

Cordialement

--
Thierry MILLE

Glenn Gagné
Le #698945
Bonjour,

Oui Thierry j'avais bien compris cela. C'est le même problème que l'on voit
avec les clients qui utilisent une carte réseau Wi-Fi. Le Wi-Fi nécessite
l'ouverture d'une session Windows pour ensuite sélectionner le bon réseau
SSID. Il n'y a que Intel qui possède l'option de forcer la connexion avant
ouverture de session pour le Wi-Fi.

C'est un peu ce que je voudrais faire avec du OpenVPN (VPN SSL).

Ou bien, est-ce possible de forcer Windows à renouveller ses crédits
(tokens) durant une session ouverte ? S'il détecte que la session ne possède
plus les bons, il force le client à re-proposer de retpaer un mot de passe
valide afin de continuer ?

Merci

Glenn Gagné
Technicien MCP/TI


"Thierry MILLE [MVP]" news:%
"Glenn Gagné"
Bonjour,

Je me trouve dans une situation assez bizarre et je ne trouve pas de
solution.

------------------------------------

Voici le contexte:

J'ai un réseau local avec un serveur Windows 2003, j'ai des postes
clients


sur ce réseau et un VPN pour me connecter à distance lorsqu'un usager
possédant un portable est à l'extérieur veut consulter les données
partagées
sur le réseau local.

Dans la situation présente, j'ai une règle de stratégie sur le serveur
pour
que les mots de passe des utilisateurs soient changés à tous les 60
jours.


J'ai un utilisateur (que l'on nommera "toto" pour l'exemple) qui utilise
un
ordinateur de bureau localement et également un ordinateur portable qui
se


trouve dans un autre bâtiment.

Dernièrement, le serveur lui a demandé de changer son mot de passe, ce
qu'il
a fait depuis le poste installé localement sans problème.

Un peu plus tard, il s'est retrouvé devant son portable dans
l'emplacement


distant, il a essayé d'ouvrir une session... évidemment le mot de passe
récemment changé lui a été refusé car le portable est hors réseau et
contient en mémoire l'ancien mot de passe, il a re-tenté avec l'ancien
mot


de passe et ça l'a fonctionné sans problème (et c'est normal puisque
Windows
tente toujours d'utiliser le même mot de passe même si les 60 jours sont
écoulés s'il n'entre pas en communication avec l'AD.). Rien ne
l'empêchait


de travailler sur le portable

Ensuite, il a lancé OpenVPN client pour se connecter sur le réseau
local.


La
connexion s'est faite sans problème car OpenVPN est indépendant de tout
ça,
mais là il ne pouvait évidemment plus accéder aux partages sur le
serveur


Windows car son compte ne possède pas le bon mot de passe ....!!!!

En essayant à plusieurs reprises d'accéder aux ressources partagées du
domaine Windows, le compte "toto" s'est verrouillé sur le serveur
Windows


2003. Ce n'empêchait toujours pas l'utilisateut de travailler sur le
portable, mais lorsqu'il est revenu au bureau, oui !

---------------------------------

Alors je me demande s'il est possible de lancer une procédure "du genre,
de
challenge" au client Windows 2000/XP lorsqu'il se connecte au serveur
Windows 2003 afin de mettre à jour sa SAM (registre) afin de récupérer
la


nouvelle version des mots de passe ?

Évidemment ce ne doit pas être possible de le faire si le compte ne
possède
pas le bon mot de passe, c'est comme si un hacker tenterais de récupérer
le
mot de passe du serveur en se connectant avec un mot de passe non
valide.



Sur tous les postes clients j'ai toujours un compte administratif de
configuré, si j'ouvre une session sur le poste distant (portable) avec
mon


compte administrateur et ensuite ouvrir un canal VPN entre celui-ci et
le


serveur, est-ce possible de faire récupérer la mise à joru des mots de
passe
des comptes configurés sur ce portable ?

Je cherche et je ne trouve pas...

Pour le moment, le seul moyen que j'ai est de rapporter le portable au
bureau (local) de le brancher directement sur le réseau local et à ce
moment
le client entre en communication avec le serveur avant d'ouvrir la
session


et peut récupérer la mise à jour de la SAM.


Vous devriez utiliser un client VPN qui se connecte au VPN avant

l'ouverture

de session. Ce type de connexion L2TP/IPSec ou PPTP peut être créée
manuellement via l'assistant de connexion ou mieux : par le CMAK.

Dans votre cas : avez vous essayez de changer votre mot de passe (par Ctrl
+

Alt + Suppr) lorsque vous êtes connectés en VPN (donc avec une session
ouverte avec vos crédits conservés en cache) ?

Cordialement

--
Thierry MILLE





Thierry MILLE [MVP]
Le #698750
"Glenn Gagné" OW3V6w$
Bonjour,

Oui Thierry j'avais bien compris cela. C'est le même problème que l'on
voit
avec les clients qui utilisent une carte réseau Wi-Fi. Le Wi-Fi nécessite
l'ouverture d'une session Windows pour ensuite sélectionner le bon réseau
SSID. Il n'y a que Intel qui possède l'option de forcer la connexion avant
ouverture de session pour le Wi-Fi.

C'est un peu ce que je voudrais faire avec du OpenVPN (VPN SSL).

Ou bien, est-ce possible de forcer Windows à renouveller ses crédits
(tokens) durant une session ouverte ? S'il détecte que la session ne
possède
plus les bons, il force le client à re-proposer de retpaer un mot de passe
valide afin de continuer ?

Théoriquement : oui, sous forme d'une info-bulle. De mémoire, Windows XP

demande alors de fermer/réouvrir la session. Avez vous tenté un changement
de mot de passe en étant connecté avec OpenVPN.

Cordialement

--
Thierry MILLE

Glenn Gagné
Le #698749
Oui, mais ça n'a pas fonctionné.

NOTE: Mes postes clients VPN sont en Windows 2000 Pro et non Windows XP Pro.
Je sais pas si ce que vous parlez existe comme mécanisme dans Win2000 ?

Merci

Glenn

"Thierry MILLE [MVP]" news:OOjLH8$
"Glenn Gagné" OW3V6w$
Bonjour,

Oui Thierry j'avais bien compris cela. C'est le même problème que l'on
voit
avec les clients qui utilisent une carte réseau Wi-Fi. Le Wi-Fi
nécessite


l'ouverture d'une session Windows pour ensuite sélectionner le bon
réseau


SSID. Il n'y a que Intel qui possède l'option de forcer la connexion
avant


ouverture de session pour le Wi-Fi.

C'est un peu ce que je voudrais faire avec du OpenVPN (VPN SSL).

Ou bien, est-ce possible de forcer Windows à renouveller ses crédits
(tokens) durant une session ouverte ? S'il détecte que la session ne
possède
plus les bons, il force le client à re-proposer de retpaer un mot de
passe


valide afin de continuer ?

Théoriquement : oui, sous forme d'une info-bulle. De mémoire, Windows XP

demande alors de fermer/réouvrir la session. Avez vous tenté un changement
de mot de passe en étant connecté avec OpenVPN.

Cordialement

--
Thierry MILLE





Thierry MILLE [MVP]
Le #698747
"Glenn Gagné" %238qza$$
Oui, mais ça n'a pas fonctionné.

NOTE: Mes postes clients VPN sont en Windows 2000 Pro et non Windows XP
Pro.
Je sais pas si ce que vous parlez existe comme mécanisme dans Win2000 ?

Je ne sais pas non plus :-( mais d'autres doivent savoir. Il faudrait au

pire remonter une machine virtuelle pour faire le test.

Bonne soirée

--
Thierry MILLE

Emmanuel Dreux [MS]
Le #698744
Bonjour,

Pour répondre à la question, les "cached credentials" sont mis à jours lors
de tout logon de type interactif ( pas network, batch ou service).
Vous pourriez par exemple écrire un petit programme (surement dispo sur
internet, sinon http://support.microsoft.com/kb/841699/fr est peut être
complet) qui appelle LogonUser.
LogonUser : http://msdn2.microsoft.com/en-us/library/aa378184.aspx

Connecté en VPN depuis un autre compte ( local par exemple), vous lancez le
programme, saisissez alors le compte utilisateur, le domaine, le mot de
passe à jour et vos cached credentials se mettront à jour sur la machine.
Peut-être qu'un runas /profile /user:domaineuser cmd.exe ferait la même
chose, de tête je n'ai pas la réponse.

J'ai eu récemment le même problème personnellement, et heureusement sous
Vista, j'ai pû m'en sortir de la façon suivante:
Je ne rentre au bureau qu'une fois par mois en moyenne et dernièrement mon
compte avait expiré en clientèle.
Je me suis logué sous Vista avec un compte local, monté mon VPN.
J'ai alors switché sur mon compte du domaine ( Fast User Switching comme
pour les Home edition de XP) et comme j'étais toujours connecté au domaine
par le biais du VPN monté dans l'autre session, je me suis donc authentifié
auprès d'un controlleur de domaine plutôt que de me loguer avec mes
credentials cachés en local (en effet les cached credentials sont utilisés
lorsqu'aucun DC est disponible).

Mes cached credentials se sont alors mis à jour, et je n'ai pas eu de
problème.
J'ai bien conscience que ces solutions sont difficilement
déployables/compréhensible à tous les utilisateurs d'une société, ou même
difficilement exploitables par un helpdesk.

Pour répondre à votre post N° 2 ( Il n'y a que Intel qui possède l'option de
forcer la connexion avant ouverture de session pour le Wi-Fi), Vista
implémente cette mécanique par défaut.

--
Cordialement,

Emmanuel Dreux.

"Thierry MILLE [MVP]" news:
"Glenn Gagné" %238qza$$
Oui, mais ça n'a pas fonctionné.

NOTE: Mes postes clients VPN sont en Windows 2000 Pro et non Windows XP
Pro.
Je sais pas si ce que vous parlez existe comme mécanisme dans Win2000 ?

Je ne sais pas non plus :-( mais d'autres doivent savoir. Il faudrait au

pire remonter une machine virtuelle pour faire le test.

Bonne soirée

--
Thierry MILLE




Glenn Gagné
Le #698539
Très intéressant.

Je vais tenté ma chance avec ces informations !!!

Merci beaucoup.

S'il y a d'autres questions je re-poste un message :o)

Glenn


"Emmanuel Dreux [MS]" de news:
Bonjour,

Pour répondre à la question, les "cached credentials" sont mis à jours
lors

de tout logon de type interactif ( pas network, batch ou service).
Vous pourriez par exemple écrire un petit programme (surement dispo sur
internet, sinon http://support.microsoft.com/kb/841699/fr est peut être
complet) qui appelle LogonUser.
LogonUser : http://msdn2.microsoft.com/en-us/library/aa378184.aspx

Connecté en VPN depuis un autre compte ( local par exemple), vous lancez
le

programme, saisissez alors le compte utilisateur, le domaine, le mot de
passe à jour et vos cached credentials se mettront à jour sur la machine.
Peut-être qu'un runas /profile /user:domaineuser cmd.exe ferait la même
chose, de tête je n'ai pas la réponse.

J'ai eu récemment le même problème personnellement, et heureusement sous
Vista, j'ai pû m'en sortir de la façon suivante:
Je ne rentre au bureau qu'une fois par mois en moyenne et dernièrement mon
compte avait expiré en clientèle.
Je me suis logué sous Vista avec un compte local, monté mon VPN.
J'ai alors switché sur mon compte du domaine ( Fast User Switching comme
pour les Home edition de XP) et comme j'étais toujours connecté au domaine
par le biais du VPN monté dans l'autre session, je me suis donc
authentifié

auprès d'un controlleur de domaine plutôt que de me loguer avec mes
credentials cachés en local (en effet les cached credentials sont utilisés
lorsqu'aucun DC est disponible).

Mes cached credentials se sont alors mis à jour, et je n'ai pas eu de
problème.
J'ai bien conscience que ces solutions sont difficilement
déployables/compréhensible à tous les utilisateurs d'une société, ou même
difficilement exploitables par un helpdesk.

Pour répondre à votre post N° 2 ( Il n'y a que Intel qui possède l'option
de

forcer la connexion avant ouverture de session pour le Wi-Fi), Vista
implémente cette mécanique par défaut.

--
Cordialement,

Emmanuel Dreux.

"Thierry MILLE [MVP]" news:
"Glenn Gagné" %238qza$$
Oui, mais ça n'a pas fonctionné.

NOTE: Mes postes clients VPN sont en Windows 2000 Pro et non Windows XP
Pro.
Je sais pas si ce que vous parlez existe comme mécanisme dans Win2000 ?

Je ne sais pas non plus :-( mais d'autres doivent savoir. Il faudrait

au


pire remonter une machine virtuelle pour faire le test.

Bonne soirée

--
Thierry MILLE







Poster une réponse
Anonyme