Proxy Anmeldung gecached?

[ronker]

Wir nutzen in der Firma einen Proxy fürs Internet und mir ist aufgefallen, dass seit einiger Zeit die Anmeldeinfos für den Proxy (Benutzername und Passwort) gecached bleiben d.h. wenn ich z.B. den installieren Chrome oder Edge schließe und erneut öffne kommt nicht erneut die Loginaufforderung für den Proxy. Die Browser sind dabei so eingerichtet, dass sie die Windows Systemproxyeinstellungen verwenden (wird von der Organisation verwaltet). Das ganze geht sogar soweit, dass ich Windows neustarten bzw. runterfahren/hochfahren kann und danach immer noch die Proxy Athentifizierung erhalten ist. Die Anmeldung bleibt allerdings nicht ewig irgendwann kommt dann doch mal wieder die Aufforderung zur Eingabe von Benutzername und Passwort für den Proxy.

Das finde ich schon ein bischen seltsam. Ist denn gewährleistet das niemand anderes diese Anmeldung "nutzen" kann? Ist da eine gewisse Zeitspanne konfiguriert?

In dem Zusammenhang ist mir auch aufgefallen, dass Windows beim Login manchmal auch noch den letzten Benutzer der angemeldet war cached d.h. der wird dann direkt angezeigt und man muss nur noch das Passwort eingeben. Nach einiger Zeit allerdings muss ich dann wieder komplett Benutzernamen und Passwort beim Hochfahren eingeben. Das scheint auch irgendwie zeitgesteuert zu sein, weil der PC dazwischen auch komplett aus war.

 

[VDC]

Kennst du "ISSO"?


Wenn du Zweifel hast, frag bei der IT direkt nach, im Endeffekt bist du Anwender und musst dich nach den vorgegebenen Richtlinien einfach verhalten.

 

[snaxilian]

Wer sagt dir, dass nicht im Hintergrund der Proxy getauscht oder aktualisiert wurde und jetzt ggf. "Single Sign On" bzw. Kerberos beherrscht? Damit authentifizierst du dich mit deinem Kennwort bei der Windows-Anmeldung und bekommst automatisch einen Passierschein, nennen wir ihn Kerberos-Ticket und dieses hat eine beschränkte zeitliche Gültigkeit. Haben die Admins dich per Gruppe o.ä. im LDAP (ja, auch das Windows Active Directory ist nichts anderes als ein LDAP) berechtigt den Proxy zu nutzen so wird automatisch im Hintergrund folgendes geschehen:
Du machst den Browser auf und willst computerbase.de besuchen

Anfrage geht zum Proxy
Proxy sagt: Ich erlaube oder verbiete per Kerberos
Dein PC schickt zum Kerberos-Server dein Kerberos-Ticket mit der Anfrage "Darf ich Internet haben?"
Kerberos-Server guckt im LDAP nach ob du in der Gruppe "internet-ok" gibst und gibt dir, basierend auf deinem Kerberos-Ticket ein Kerberos-Internet-Ticket mit
Dein PC geht mit dem Kerberos-Internet-Ticket zum Proxy > Proxy sagt: "cool cool, hier bitte schön, einmal Internet für dich"
Browser zeigt dir computerbase.de an

Anstatt Internet lässt sich mit Kerberos auch alles andere reglementieren, z.B. die Nutzung von Druckern (kerberos-drucker-ticket), usw. usf.
Das Kerberos-Ticket an sich als auch die damit ausgestellten weiteren Tickets für einzelne Berechtigungen sind immer zeitlich beschränkt. Daher kann es vorkommen, dass du manchmal erneut, z.B. am Proxy deine Credentials eingeben musst. Unter der Haube gibst du deine Credentials aber nicht wirklich dem Proxy sondern holst dir damit ein neues Kerberos-Ticket mit dem du bzw. dein PC dann wiederum ein kerberos-internet-ticket bekommt.

So zumindest in der Theorie falls ihr überhaupt Kerberos einsetzt. Es ist genau so gut möglich, dass ihr da etwas ganz anderes einsetzt denn deine Frage wird dir hier absolut niemand korrekt beantworten können. Dies kann nur und ausschließlich eure IT bzw. der entsprechende IT-Dienstleister sofern ihr das nicht selbst macht.