AD Passwort bei der Anmeldung über SecurAccess ändern
Bei diesem Knowledge Base Artikel handelt es sich um einen Archiveintrag, der 1:1 aus den FAQv1 Beiträgen übernommen wurde. Er dient dazu, auch Lösungen für ältere Versionen nach wie vor anzubieten und durchsuchbar zu machen.
Archiv
Sie haben die Zwei-Faktor Authentifizierung SecurAccess von SecurEnvoy im Einsatz, um Ihren VPN Zugang mit einer Zwei-Faktor-Authentifizierung zu schützen.
Obwohl die Anmeldung über Ihre VPN Anbindung (z.B. Juniper, Cisco, o.ä.) problemlos funktioniert, erhalten Sie von einzelnen Anwendern die Mitteilung, dass sich diese plötzlich nicht mehr anmelden können. Bei der Überprüfung des LogViewer des Security Servers finden Sie zur betroffenen Benutzerkennung folgende Meldung: "Access Denied Account Requires AD Password Changing"
Ursache
Das für die betroffene Benutzerkennung hinterlegte AD Kennwort ist ungültig, da z.B. abgelaufen.
Ohne gültige AD Authentifizierung (erster Faktor) kann jedoch keine nachgelagerte Zwei-Faktor-Authentifizierung durchgeführt werden.
Erst wenn der Anwender sich mit einer gültigen Kennung dem AD gegenüber authentifiziert hat, kann die zusätzliche Authentifizierung durch SecurAccess durchgeführt werden.
Sollte der AD-Login nicht möglich sein (z.B. wegen notwendiger Änderung des AD Passworts), so wird auch keine weitere Authentifizierung durch SecurAccess durchgeführt, da bereits die Authentifizierung durch den ersten Faktor gescheitert ist.
SecurAccess bietet keinen Möglichkeit für eine "vorgelagerte" Änderung des AD Passworts an, da dies durch das verwendete RADIUS Protokoll nicht unterstützt wird.
Sie müssen daher zuerst die erfolgreiche Authentifizierung durch den ersten Faktor ermöglichen, sprich: Der Benutzer muss sein Passwort zuerst erfolgreich ändern.
Lösung
Um den User Helpdesk für diesen Fall zu entlasten, bietet der Hersteller SecurEnvoy die Lösung SecurPassword an. https://www.securenvoy.com/products/securpassword/overview.shtm
Diese Lösung ist separat zu lizensieren und über die Registerkarte "Config" bereits in SecurAccess Integriert.
Vom Hersteller SecurEnvoy haben wir hierzu folgende Aussage:
This is not possible as the SecurEnvoy Security server uses the RADIUS protocol to communicate with this VPN solution.
There is no parameter within RADIUS to signal this type of event.
However we do have a good solution if the user is able using SMS.
This requires the addition of our SecurPassword product (Self Service Password Reset).
This is where the SecurEnvoy server can see if the password requires changing etc.
Then it sends an alert SMS to the user with a link URL to the SecurPassword Portal (Upon the Securenvoy server).
The user can then set the password via SecurEnvoy.
To date there is no mechanism to do this via VPN using RADIUS.