Drarlor
Commander
- Registriert
- Jan. 2007
- Beiträge
- 2.698
Hallo,
ich habe seit gestern ein etwas umständliches Problem mit dem IIS 6.0. Dieses stellt sich wie folgt dar.
Eine Webanwendung prüft im Active Directory den aktuell angemeldeten Benutzer (eigentlich) anhand des samaccountname und prüft dann die Attribute memberof auf die Zugehörigkeit in bestimmten Gruppen. Daran erkennt die Anwendung, was dieser Benutzer darf bzw. welche Teile der Anwendung er benutzen/sehen darf. Soweit so gut, das funktioniert auch wunderbar.
Ändert man nun den samaccountname des Anwenders um, funktioniert die Prüfung nicht mehr richtig, da sie offensichtlich auf den alten Namen prüft, diesen aber nicht im AD findet. Der IIS hat also im Hintergrund diese Abfrage gecached und vergleich den Namen mit der SID des Benutzers.
Gibt es eine Möglichkeit entweder den Cache zu löschen oder eine Art TTL auf diese gespeicherten Daten zu setzen, damit die Anmeldung nach einer bestimmten Zeit ausläuft?
Die andere Lösungsalternative, um dem Anwender die Anwendung wieder zugänglich zu machen, wäre ein Reboot des Servers, was bei Produktivsystemen extrem unschön ist oder aber (noch viel umständlicher) dem User einen neuen Account mit neuer SID zu verpassen. Letzteres würde aber den Verwaltungsaufwand erhöhen und ist nicht automatisch revisionssicher.
Jetzt bin ich mal gespannt ob sich hier auch ein paar Spezialisten rumtreiben... :-)
ich habe seit gestern ein etwas umständliches Problem mit dem IIS 6.0. Dieses stellt sich wie folgt dar.
Eine Webanwendung prüft im Active Directory den aktuell angemeldeten Benutzer (eigentlich) anhand des samaccountname und prüft dann die Attribute memberof auf die Zugehörigkeit in bestimmten Gruppen. Daran erkennt die Anwendung, was dieser Benutzer darf bzw. welche Teile der Anwendung er benutzen/sehen darf. Soweit so gut, das funktioniert auch wunderbar.
Ändert man nun den samaccountname des Anwenders um, funktioniert die Prüfung nicht mehr richtig, da sie offensichtlich auf den alten Namen prüft, diesen aber nicht im AD findet. Der IIS hat also im Hintergrund diese Abfrage gecached und vergleich den Namen mit der SID des Benutzers.
Gibt es eine Möglichkeit entweder den Cache zu löschen oder eine Art TTL auf diese gespeicherten Daten zu setzen, damit die Anmeldung nach einer bestimmten Zeit ausläuft?
Die andere Lösungsalternative, um dem Anwender die Anwendung wieder zugänglich zu machen, wäre ein Reboot des Servers, was bei Produktivsystemen extrem unschön ist oder aber (noch viel umständlicher) dem User einen neuen Account mit neuer SID zu verpassen. Letzteres würde aber den Verwaltungsaufwand erhöhen und ist nicht automatisch revisionssicher.
Jetzt bin ich mal gespannt ob sich hier auch ein paar Spezialisten rumtreiben... :-)
Zuletzt bearbeitet:
(Typo)