Dallas Lock - Форум по вопросам информационной безопасности

oko
Ограничение установлено в DL.

Пароль меняется на этапе идентификации.
Т.е. там, где оболочка DL предлагает ввести логи и пароль.

Может быть так и есть. Только ведь механизм-то даласлокавский.

Тут либо косяк в сборке или в настройках Сервера безопасности. Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага. Если опять ничего положительного не даст - только обращаться в тех.поддержку. Либо вообще отказаться от смены паролей пользователями самостоятельно (впрочем, понимаю, что для того и вводилась функция, чтобы от нее не отказываться).

Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага.
-----------
Не совсем понятно о чем речь?

1. Если о том, что бы конкретному пользователю поставить (через Сервер безопасности) флаг "Потребовать смену пароля при следующей загрузке", а потом (после ребута) поменять его на пользовательском ПК в момент идентификации, т.е. без применения локального Администратора DL.
То это я проделывал - та же фигня: пользователь меняет пароль. Делает перезагрузку. Пароль не верный.

2. Если речь идет о том, что бы на клиентской машине залогиниться под пользователем с правами администратора, зайти в оснастку DL, т.е. запустить Администратора DL и там поменять пароль.
То это я проделывал - проблем нет. пароль меняется успешно.

3. Если речь идет про то, что бы поменять пароль пользователю удаленно через Сервер безопасности.
То и это я проделывал. Пароль применяется успешно.
---------

Т.е. сбрасывается он только в одном случае: когда пользователь меняет его ДО захода в ОС.

Смотрите в журнал сервера безопасности, там на момент смены пользователем пароля есть ошибки?
Опять же есть журнал управления пользователями в локальной админке там подозрительных записей с ошибками нет?

simm

В журналах собранных сервером безопасности:
Есть только:
- требуется смена пароля
- пароль набран неверно


Локальные журналы я не смотрел. Гляну. Но ведь сервер их собирает.

Исходя из всего вышеуказанного, мне, лично, не ясна причина проблемы. При условии 100% верности пароля. Возможно, en/ru-переключение глючит (или вообще клавиатуру пользователя)? Попробуйте проверки ради ввести чисто цифровой пароль. Кстати, такая чехарда наблюдается/проверялась на нескольких АРМ в сети или только на одном?

oko
На всех. Всегда.

Кроме того, ведется журнал неправильно набранных паролей, так что можно 100% знать правильно набран пароль или нет.

советую посмотреть GPO ОС на сервере и на клиенте, в случае если на сервере парольные политики по сложности сильнее, то может возникнуть описанная ситуация. т.е. при смене пароля пользователем он (пароль) отсылается на сервер и если он не проходит по политикам на сервере остается старый и при следующей синхронизации меняет его на старый.

simm
В DL все политики одинаковые, т.к. применял их централизованно через Сервер безопасности.

simm про GPO Windows (локальные и, если домен, то глобальные) говорит, насколько я понимаю
Кстати, возможно. Не особо в курсе, как работает модуль связи своей БД-паролей с БД-паролей ОС в Далласе. Вполне возможен конфликт, когда ОС считает пароль недопустимым (по своим политикам), но уведомление не появляется (Даллас, к примеру, его скрывает и игнорирует).
Впрочем, исходя из журнала, "неверность" пароля идет в следствие недоступности сервера безопасности на этапе смены пароля. Т.е. в локальную базу Далласа новый пароль попадает, в локальную базу ОС тоже. После входа юзера в систему идет синхронизация с сервером безопасности. И СБ, соответственно, не в курсе о смене пароля - меняет его на старый автоматически. Результат - после ребута пользователю в доступе отказывает. Кстати, после ребута пробовали старый пароль вбивать? Каков результат?
Если вся картина более или менее соответствует моим рассуждениям, то траббла может заключаться в промежуточном звене - стороннем межсетевом экране (в составе того же DL или антивируса) или брандмауэре Windows. До его прогрузки, которая осуществляется на этапе старта пользовательской сессии локальной машине, все соединения с СБ блокируются, например.