De Authentificatie van UltraVnc

Driver | MS-Logon | Encryption | Chat | File Transfer | Java Viewer

Momenteel zijn er drie verschillende authentificatiemethodes beschikbaar voor UltraVNC:

• Klassieke Authentificatie VNC
• Mej.-opening van een sessie I
• Mej.-opening van een sessie II

De klassieke authentificatie VNC slaat een wachtwoord op de verre machine op. Wanneer het verbinden aan de kijker, moet dit wachtwoord zijn ingegaan.

 

Beide baseren de Mej.-Opening van een sessie methodes zich bij de authentificatie van de Opening van een sessie van Microsoft Windows, d.w.z. worden de gebruikersbenaming en het wachtwoord van een domein van Vensters of een machinerekening gebruikt voor authentificatie.

 

Mej.-opening van een sessie I beperkt de gebruikersrekeningen om in het zelfde domein te zijn dan de machinerekening, maar is beschikbaar op Vensters 9x.
Mej.-opening van een sessie II staat voor dwars-domeinauthentificatie toe, maar werkt slechts aan Vensters NT, 2000, XP en 2003.

Klassieke Authentificatie VNC

Te doen documentatie.

Mej.-opening van een sessie I

Met UltraVNC kan de toegang van de Server WinVNC worden beheerd gebruikend de Gebruikers, de Domeinen en de Groepen van lidstaten beschikbaar bij de machine die deze server WinVNC ontvangt. Momenteel, worden de domeinen NT en de actieve folders gesteund. De domeinen van het kind worden NIET gesteund, moet de gebruiker tot het domein van de server behoren.

Klik het pictogram WinVNC in het Dienblad van het Systeem met de rechtermuisknop aan en kies „Eigenschappen Admin“.

In de de paginacontrole van Eigenschappen Admin „vereis Mej.-Opening van een sessie“.

Dan klik op „vormen de Groepen van de Opening van een sessie van lidstaten“.
Hier kunt u gebruikers en groepen toevoegen of verwijderen of hun rechten veranderen.

Een paar dingen moeten worden gekend en gevormd als u deze functionaliteit boete aan uw machine van de Server wilt werken WinVNC, en het hangt van de versie van Vensters af die wordt gebruikt.

Om de Opening van een sessie van lidstaten onder Windows 95, Vensters 98, en de Uitgave van het Millennium van Vensters te gebruiken, moet u ook de NTLM veiligheidsdiensten toelaten door Controlebord, Netwerk, Toegangsbeheer te openen, en dan gebruiker-Vlak toegangsbeheer te selecteren. Win 9.x vereisen 2 dlls radmin32.dll en rlocal32.dll dit in nexus.exe kan worden gevonden.

Onder Vensters XP, wordt de ForceGuest registratiewaarde geplaatst aan 1 door gebrek in de volgende registratiesleutel:
HKEY_LOCAL_MACHINE \ Lsa van de Controle \ van het SYSTEEM \ CurrentControlSet \

Op een computer van Vensters XP moet u controleren:
Als de rekening van de Gast wordt toegelaten, zal een opening van een sessie SSPI als Gast voor om het even welke gebruikersgeloofsbrieven slagen.
Als ForceGuest (plaats aan 0) gehandicapt is, zal SSPI als gespecificeerde gebruiker het programma openen.
Als meest authtest gebruik geblokkeerde gastrekening geeft, wordt een open gastrekening ontdekt en de Mej.opening van een sessie ontkent al toegang.

Mej.-opening van een sessie II

Beschrijving

Naast de eerste implementatie van Mej.-Opening van een sessie (Mej.-Opening van een sessie I), kan Mej.-Opening van een sessie II dwars-domeinauthentificatie doen, d.w.z. kan de gebruikersrekening in een ander domein zijn dan de computerrekening.

Steunen

• Vensters NT, Vensters 2000, Vensters XP en Vensters 2003.
• Om het even welke het mogelijke nestelen van groepen en gebruikers.
• Verschillende noemende stijlen:
  • domein \ gebruiker
  • user@domain.com (UPN, d.w.z. de Belangrijkste Naam van de Gebruiker)

Vereisten

• Op Vensters NT 4, wenst u minstens SP4 en de geïnstalleerdei manager van de veiligheidsconfiguratie.
• Onder Vensters XP, wordt de ForceGuest registratiewaarde geplaatst aan 1 door gebrek in de volgende registratiesleutel:
  HKEY_LOCAL_MACHINE \ Lsa van de Controle \ van het SYSTEEM \ CurrentControlSet \
  Als de rekening van de Gast wordt toegelaten, zal een opening van een sessie SSPI als Gast voor om het even welke gebruikersgeloofsbrieven slagen.
  Als ForceGuest (plaats aan 0) gehandicapt is, zal SSPI als gespecificeerde gebruiker het programma openen.
  Zo is het belangrijk om ForceGuest onbruikbaar te maken. Anders wordt al vergunning gedaan tegen de gastrekening!
• De Montages van het beleid: De authentificatie zal ontbreken als „ontken de opening van een sessie aan de computer van het netwerk“ voor een groep wordt toegelaten de openings van een sessierekening een lid van is. Dit is op beide Lokale Montages van het Beleid evenals Voorwerpen van het Beleid van de Groep van toepassing.
  Zorg zo ervoor de gebruikersrekeningen voor de authentificatie van de Opening van een sessie van lidstaten worden gebruikt niet door deze montages die worden beïnvloed.

Configuratie

Hand configuratie

Klik het pictogram WinVNC in het Dienblad van het Systeem met de rechtermuisknop aan en kies „Eigenschappen Admin“.

 

In de de paginacontrole van Eigenschappen Admin „vereis Mej.-Opening van een sessie“ en „Nieuwe Mej.-Opening van een sessie“.

 

Dan klik op „vormen de Groepen van de Opening van een sessie van lidstaten“.
Hier kunt u gebruikers en groepen toevoegen of verwijderen of hun rechten veranderen.

 

Werk is de normale wijze op elkaar in waar u muis en toetsenbord kunt overnemen. Het is een synoniem voor Volledige Controle.

De mening staat slechts de rekening toe om het verre scherm te bekijken, maar de lokale muis en het toetsenbord kunnen niet het verre scherm controleren.

Geautomatiseerde configuratie

U kunt het hulpmiddel gebruiken MSLogonACL om ACL uit te voeren van één machine en het in te voeren in een andere.

Om worden getest

Aangezien MSLogon II vrij nieuw is en er diverse verschillende scenario's zijn hoe te om het te gebruiken, moedigen wij iedereen aan om hun ervaring te delen. Gelieve te posten uw resultaten aan het Mej.-Opening van een sessie UltraVNC forum.
Er zijn een aantal factoren die moeten worden overwogen: De verschillende OS versies, als de Actieve Folder gebruikt of ouderwets lokaal vertrouwen NT is worden, hetzij of domein gebaseerde rekeningen gebruikt, de noemende overeenkomst die het gebruikte en diverse mogelijke nestelen van groepen is.

OS

WinNT, W2K, wXP, W2K3

Infrastructuur

Met/zonder Actieve Folder

Rekeningen

Lokale en/of domeingebruikers/groepen

Noemende stijlen

gebruiker, machine\ gebruiker, domein\ gebruiker, user@domain.com (UPN), groep, domein\ groep

Domeinen

(impliceert trusts/AD) gebruiker en/of groep in andere domeinen dan computer, genestelde groepen over veelvoudige domeinen

Bekende nog vaste niet insecten ()

• Fout die/zuiveren worden verbeterd rapporteren

Geschiedenis

31. 01. 2005

Moeilijke situatie: Verandering in platformopsporing aan vraag security.dll of secur32.dll.
Nu wordt geen platformopsporing gedaan bij allen (schijnt om tot problemen aangaande NT4SP6a te leiden), in plaats daarvan wordt secur32.dll geroepen. Als de vraag niet succesvol is, wordt security.dll geroepen.

10. 12. 2004

Moeilijke situatie: Bepaalde wachtwoorden (b.v. Abc0DefG) leiden tot authentificatiemislukking.
(zie http://forum.ultravnc.net/viewtopic.php?t=803)

08. 12. 2004

Moeilijke situatie: Veranderde authSSP.dll aan Unicode om voor uitgebreide klusjes (ä, ö, ü, ç, ß enz.) in wachtwoorden toe te staan.
(zie http://forum.ultravnc.net/viewtopic.php?t=1259)

29. 10. 2004

Moeilijke situatie: De gebruikersbenamingen met ruimten slagen om met hulpmiddel te laden er niet in MSLogonACL.
(zie http://forum.ultravnc.net/viewtopic.php?t=1046&highlight=#4025)

07. 10. 2004

Veranderde lijst van groepen aan echte ACL.
Veranderde UI aan de pagina van de Veiligheid.
Toegevoegd de invoer/de uitvoerhulpmiddel voor ACL.

20. 08. 2004

Moeilijke situatie: Verandering in platformopsporing aan vraag security.dll in plaats van secur32.dll op NT 4.

04. 08. 2004

De vergunning gebruikt nu de controle van de Toegang met de beschrijver van de Veiligheid en het Teken van de Toegang.
Slechts één de openings van een sessiepoging wordt van Vensters vereist om authentificatie en vergunning te testen.

25. 06. 2004

Eerste poging.

MSLogonACL voor UltraVNC

Wat is MSLogonACL?

Het doel van MSLogonACL is voor geautomatiseerde installaties UltraVNC met inbegrip van toegangsrechtenconfiguratie voor Mej.-Opening van een sessie II. toe te staan.

Met nieuwe de Mej.-Opening van een sessie functionaliteit in UltraVNC, worden de toegangsrechten opgeslagen in ACL (toegangsbeheerlijst). Dit is een binaire structuur die een lijst van SIDs (veiligheidsherkenningstekens) samen met de beschrijving houdt die de rechten aan elke SID worden verleend of ontzegd.

ACL kan via de Vnc- eigenschappen pagina worden uitgegeven. voor geautomatiseerde installaties toe te staan VNC wordt een methode vereist voor het vormen van ACL van de bevellijn. Dit is het doel van MSLogonACL.

Het uitvoeren van ACL

/e van MSLogonACL dossier voor het uitvoeren naar dossier.

Als het dossier wordt weggelaten, zijn de veiligheidsmontages gedrukt aan de console (stdout).
De lijnen die met == beginnen zijn zuiveren informatie over stderr.

Het invoeren van ACL

/i /a van MSLogonACL dossier voor het toevoegen van Azen aan huidige ACL of
/i /o van MSLogonACL dossier voor het beschrijven van huidige ACL
het lezen van de veiligheidsconfiguratie van dossier.

Formaat van het configuratiedossier

sta 0x3 domein\- rekening toe
of
ontken 0x3 domein\- rekening

0x1 is slechts Mening, is 0x3 op elkaar inwerkt en impliceert dat u de verre Desktop kunt ook bekijken.

het domein kan een computernaam of de naam van een domein zijn.
Als het domein niet (als ontken 0x3 rekening) wordt gespecificeerd, probeert de Vensters om de naam van de rekening aan een lokale of domeinrekening aan te passen.
Het wordt niet geadviseerd om het domeindeel weg te laten aangezien dit tot onverwachte resultaten kan leiden.

de rekening kan groepsnaam of gebruikersbenaming zijn.

Als de naam van de rekening ruimten bevat, moet de domein\- rekeningsuitdrukking in aanhalingstekens worden ingesloten:
sta 0x3 „domein\- rekening toe“
Zelfs als de naam van de rekening geen ruimten bevat, zullen de aanhalingstekens niet kwetsen.

MSLogonACL heeft twee afkortingen voor speciale domeinen:
één punt om de computernaam en twee punten aan te duiden om het domein van de computer aan te duiden:
. \ rekening voor een lokale rekening op de computer
of
. \ rekening voor een rekening in het domein van de computer.