Ein Benutzer kann sich nicht mehr an eine Instanz unter Windows anmelden.
Ein Kunde beschrieb das folgende Problem:
Ich habe die Version IDS 10.00.TC8W3 auf einer virtuellen Maschine getestet. Die Installation erfolgte lokal, nicht in einer Domäne, danach habe ich den Server an meine Domäne XYDOM angehängt und mit meinem Benutzer xyuser einen DB-Connect versucht.
- Via ODBC von meinem Notebook aus, konnte ich mich weder mit xyuser noch mit xydomxyuser oder
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. anmelden. Fehler jeweils -951. - Via ODBC lokal auf der VM konnte ich mich mit xydomxyuser anmelden, nicht aber mit xyuser oder
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. . - Via dbaccess lokal auf der VM konnte ich mich mit xydomxyuser anmelden.
Ich habe dann parallel IDS 10.00.TC5 in ein anderes Verzeichnis installiert auch als nicht-Domänen-Installation. Nachdem ich die Testdb von der TC8W3-Instanz importiert hatte, versuchte ich mich zu verbinden. Dies funktionierte ohne Probleme mit xyuser, sowohl lokal auf der VM als auch von meinem Notebook aus via ODBC.
Da die Anmeldung problemlos funktioniert bis zu IDS 10.00.TC5 und danach nicht mehr ist dies wohl als Bug einzustufen.
Antwort:
Die bisher benutzte Form der Authentifizierung ist sicherheitskritisch, da der IDS-Server die Kombination aus Username und Passwort bei allen bekannten Domains ausprobiert.
Deshalb wurde in IDS10.00.TC6 diese Form der Authentifizierung abgeschaltet. Auf Kundenwunsch wurde eine undokumentierte Variable eingeführt, die das alte Verfahren wieder einschaltet.
Setzen Sie dazu im Onconfig-File der Instanz den Parameter
CHECKALLDOMAINSFORUSER 1
starten Sie den IDS erneut und testen Sie die Verbindung. Die Verbindung sollte jetzt wie bisher wieder zu Stande kommen.
Anwendungen die sich an Windows-Instanzen verbinden sollten so geändert werden, dass sie immer eine Authentifizierung mit dem Voll-Qualifizierten Benutzernamen der in der Form DomainnameUsername durchführen. In der bisherigen Form der Authentifizierung kann es passieren, das ein Benutzer, der seine Domain bei der Anmeldung nicht angibt, versehentlich bei einer anderen Domain authentifiziert wird, wenn der dort existierende User das gleiche Passwort hat.