Где в AD настроить работу счетчика неправильных вводов пароля через bind?

Question

[Ivan Baki-Borodov]

Суть вопроса - у нас используется LDAP авторизация в Битрикс24 (не через NTLM), в Exchange и 1С. При этом, несмотря на то, что ограничение на количество неправильных вводов пароля установлено, и при входе на доменные компы вполне работает, при LDAP-авторизации можно заниматься перебором сколько угодно раз.



Где нужно галочку поставить, или что сделать, чтобы для LDAP-авторизации через bind-юзера это ограничение тоже работало?

Comments

[mureevms]

Посмотрите логи, думаю найдете статус, что учетка заблокирована. Просто интерфейс сервисов не подразумевает показа или вообще чтения этих атрибутов

[Ivan Baki-Borodov]

mureevms, да нет, я пробовал 15 раз ввести неправильный пароль, а потом сразу правильный, и меня успешно авторизовывает

[mureevms]

Ivan Baki-Borodov, Значит пароли кешируются на стороне сервиса

[Ivan Baki-Borodov]

mureevms, пароли на стороне сервиса не кешируются, битрикс каждый раз обращается к домену
https://dev.1c-bitrix.ru/learning/course/index.php...

[mureevms]

Ivan Baki-Borodov, очевидно, что работает не так, как описано. Либо кэш, что логично, либо при первом обращении битрикса к AD он берет значение пароля и затем сравнивает вводимый пользователем с этим значением, не обращаясь в AD каждый раз. Но это предположение. В любом случае дело именно в Битриксе, без него же работает. А значит предположение может быть верно, поскольку аккаунт не блочится и следовательно обращения не было. А если не было, то кэш на стороне битрикса

[Ivan Baki-Borodov]

mureevms, почему вы решили, что без него работает, и почему то, что работает не так - очевидно? в эксче то же самое, да и с поддержкой битрикса общался, мне подтвердили, что каждый раз битрикс обращается в домен.

[mureevms]

Ivan Baki-Borodov, Чудес не бывает. Я бы не верил саппорту по таким вопросам, вероятно они сами прочли эту документацию и транслируют ее. Сделайте тест, запустите на обоих серверах анализатор трафика (wireshark, tcpdump), сделайте одну попытку входа с неверным паролем. Тем самым выяснится вся цепочка запросов и ответов за одну попытку логина. Затем через какое-то время сделайте 10 таких попыток и сравните данные анализаторов. Если был только один запрос - я прав, а саппорт нет. Если было 10 запросов, то мое предположение не верно и причину надо искать на стороне AD

[mureevms]

почему вы решили, что без него работает

Вот по этому

при входе на доменные компы вполне работает

[mureevms]

Кстати, по вашей ссылке в всплывающей подсказке есть такой текст

Если при выгрузке пользователей из AD оказывается, что логин выгружаемого пользователя совпадает с логином пользователя, созданного в Bitrix Framework уже ранее, то такой пользователь будет создан в системе, в добавок к уже существующему. Логины будут совпадать, но его привязка будет конкретно к AD.
В таком случае (совпадение логинов) при авторизации сначала будет произведена попытка авторизовать пользователя через AD (используя логин и пароль, которые привязаны к AD) и только если она оказалась безуспешной (ошибка при авторизации), то будет уже произведена попытка авторизации под внутренним пользователем (логин и пароль пользователя, созданного вручную в системе).

В таком случае при повторной проверке битрикс проверяет не ADшный пароль, а локальный, поэтому коннектов и нет.